រូបសញ្ញាអេស៊ីអេសAXIS OS Vulnerability Scanner
មគ្គុទ្ទេសក៍

មាតិកា លាក់
1 សេចក្តីផ្តើម
2 វិសាលភាព
3 មគ្គុទ្ទេសក៍ចាប់ផ្តើមរហ័ស មគ្គុទ្ទេសក៍ចាប់ផ្តើមរហ័ស
4 ការកត់សម្គាល់ទូទៅបំផុត
5 Apache web ម៉ាស៊ីនមេ
6 ការកត់សម្គាល់ទូទៅបំផុត
7 OpenSSL
8 វិញ្ញាបនបត្រចុះហត្ថលេខាដោយខ្លួនឯង។
9 Web សុន្ទរកថារបស់ម៉ាស៊ីនមេ
10 ការកត់សម្គាល់កម្មវិធីបង្កប់
11 ការកត់សម្គាល់បណ្តាញ
12 ការកត់សម្គាល់ផ្នែករឹង
13 ឯកសារ/ធនធាន
13.1 ឯកសារយោង
14 ប្រកាសដែលពាក់ព័ន្ធ

សេចក្តីផ្តើម

AXIS OS Vulnerability Scanner - រូបតំណាង ការណែនាំអំពីម៉ាស៊ីនស្កេនភាពងាយរងគ្រោះរបស់ AXIS OS សម្រាប់ឧបករណ៍គែមអ័ក្ស
ភាពងាយរងគ្រោះ និងហានិភ័យ
កម្មវិធីទាំងអស់មានភាពងាយរងគ្រោះដែលអាចត្រូវបានគេកេងប្រវ័ញ្ច។ ភាពងាយរងគ្រោះនឹងមិនណែនាំហានិភ័យដោយស្វ័យប្រវត្តិទេ។ ហានិភ័យត្រូវបានកំណត់ដោយប្រូបាប៊ីលីតេនៃការគំរាមកំហែងដែលកេងប្រវ័ញ្ចលើភាពងាយរងគ្រោះ និងផលប៉ះពាល់អវិជ្ជមានដែលអាចកើតមានដែលការកេងប្រវ័ញ្ចជោគជ័យអាចធ្វើបាន។ កាត់បន្ថយណាមួយក្នុងចំណោមទាំងពីរ ហើយអ្នកកាត់បន្ថយហានិភ័យ។ Cybersecurity គឺនិយាយអំពីការគ្រប់គ្រងហានិភ័យ ហើយហានិភ័យគឺពិបាកនឹងលុបបំបាត់ណាស់។ កម្រិតហានិភ័យអាស្រ័យលើរបៀបដែលឧបករណ៍/កម្មវិធីត្រូវបានដាក់ឱ្យប្រើប្រាស់ ដំណើរការ និងគ្រប់គ្រង។ ការកាត់បន្ថយការប៉ះពាល់ (កាត់បន្ថយឱកាស) គឺជាមធ្យោបាយដ៏មានប្រសិទ្ធភាពក្នុងការកាត់បន្ថយហានិភ័យ។ ការណែនាំអំពីការពង្រឹងប្រព័ន្ធប្រតិបត្តិការ AXIS ពិពណ៌នាអំពីការគ្រប់គ្រងសុវត្ថិភាព និងការណែនាំជាច្រើនសម្រាប់កាត់បន្ថយហានិភ័យនៅពេលដាក់ពង្រាយ ប្រតិបត្តិការ និងថែទាំឧបករណ៍អ័ក្ស។ ភាពងាយរងគ្រោះមួយចំនួនអាចមានភាពងាយស្រួលក្នុងការកេងប្រវ័ញ្ច ខណៈដែលខ្លះអាចត្រូវការកម្រិតខ្ពស់នៃភាពទំនើប សំណុំជំនាញពិសេស និង/ឬពេលវេលា និងការប្តេជ្ញាចិត្ត។ ការគំរាមកំហែងទាមទារឱ្យមានការចូលប្រើប្រាស់រាងកាយ ឬបណ្តាញទៅកាន់ឧបករណ៍។
ភាពងាយរងគ្រោះមួយចំនួនទាមទារសិទ្ធិជាអ្នកគ្រប់គ្រងដើម្បីទាញយកប្រយោជន៍។ CVSS (Common Vulnerability Scoring System) គឺជារង្វាស់ដែលប្រើជាទូទៅ ដើម្បីជួយកំណត់ថាតើភាពងាយរងគ្រោះមានភាពងាយស្រួលក្នុងការកេងប្រវ័ញ្ច និងផលប៉ះពាល់អវិជ្ជមានដែលអាចកើតមាន។ ពិន្ទុទាំងនេះច្រើនតែផ្អែកលើកម្មវិធីនៅក្នុងប្រព័ន្ធសំខាន់ៗ ឬកម្មវិធីដែលមានការប៉ះពាល់ខ្លាំងចំពោះអ្នកប្រើប្រាស់ និង/ឬអ៊ីនធឺណិត។ Axis ត្រួតពិនិត្យមូលដ្ឋានទិន្នន័យ CVE (Common Vulnerabilities & Exposure) ដែលបោះផ្សាយភាពងាយរងគ្រោះដែលគេស្គាល់នៅក្នុងកម្មវិធីសម្រាប់ធាតុ CVE ដែលទាក់ទងនឹងកញ្ចប់ប្រភពបើកចំហដែលប្រើក្នុងឧបករណ៍អ័ក្ស។ ភាពងាយរងគ្រោះដែល Axis កំណត់ថាជាហានិភ័យមានកំណត់នឹងត្រូវបានដោះស្រាយនៅក្នុងការចេញផ្សាយកម្មវិធីបង្កប់នាពេលអនាគត។ ភាពងាយរងគ្រោះដែល Axis កំណត់ថាជាហានិភ័យកើនឡើង នឹងត្រូវបានចាត់ទុកជាអាទិភាព ដែលបណ្តាលឱ្យមានការបំណះកម្មវិធីបង្កប់ដែលមិនបានគ្រោងទុក ឬការបោះពុម្ពផ្សាយសេចក្តីណែនាំអំពីសុវត្ថិភាពដែលជូនដំណឹងអំពីហានិភ័យ និងការណែនាំ។ ឧបករណ៍ស្កែនរាយការណ៍ពីភាពវិជ្ជមានមិនពិត
ឧបករណ៍ស្កែនជាធម្មតានឹងព្យាយាមកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះដែលគេស្គាល់ដោយពិនិត្យមើលលេខកំណែនៃកម្មវិធី និងកញ្ចប់ដែលបានរកឃើញនៅក្នុងឧបករណ៍។ វាតែងតែមានលទ្ធភាពដែលឧបករណ៍ស្កែននឹងរាយការណ៍ការកត់សម្គាល់វិជ្ជមានមិនពិត មានន័យថាឧបករណ៍នេះពិតជាមិនមានភាពងាយរងគ្រោះនោះទេ។ រាល់ការកត់សម្គាល់ពីឧបករណ៍ស្កែនបែបនេះ ចាំបាច់ត្រូវធ្វើការវិភាគ ដើម្បីបញ្ជាក់ឱ្យឃើញថា ពួកវាពិតជាអនុវត្តចំពោះឧបករណ៍នេះ។ អ្នកត្រូវប្រាកដថាឧបករណ៍អ័ក្សមានកំណែកម្មវិធីបង្កប់ចុងក្រោយបំផុតព្រោះវាអាចរួមបញ្ចូលបំណះដែលដោះស្រាយភាពងាយរងគ្រោះជាច្រើន។

វិសាលភាព

មគ្គុទ្ទេសក៍នេះត្រូវបានសរសេរសម្រាប់ និងអាចត្រូវបានអនុវត្តចំពោះផលិតផលដែលមានមូលដ្ឋានលើ AXIS OS ទាំងអស់ដែលកំពុងដំណើរការ AXIS OS LTS ឬកម្មវិធីបង្កប់បទសកម្ម។ ផលិតផលកេរ្តិ៍ដំណែលដែលដំណើរការកម្មវិធីបង្កប់ 4.xx និង 5.xx ក៏ស្ថិតក្នុងវិសាលភាពផងដែរ។
AXIS OS Vulnerability Scanner - រូបតំណាង ប្រព័ន្ធប្រតិបត្តិការសម្រាប់ឧបករណ៍គែមអ័ក្ស។

មគ្គុទ្ទេសក៍ចាប់ផ្តើមរហ័ស មគ្គុទ្ទេសក៍ចាប់ផ្តើមរហ័ស

វាត្រូវបានផ្ដល់អនុសាសន៍ឱ្យធ្វើការវាយតម្លៃភាពងាយរងគ្រោះជាទៀងទាត់នៃហេដ្ឋារចនាសម្ព័ន្ធដែលឧបករណ៍អ័ក្សគឺជាផ្នែកមួយនៃឧបករណ៍អ័ក្សផ្ទាល់។ ការវាយតម្លៃភាពងាយរងគ្រោះទាំងនេះជាធម្មតាត្រូវបានអនុវត្តដោយម៉ាស៊ីនស្កេនសុវត្ថិភាពបណ្តាញ។ គោលបំណងនៃការវាយតម្លៃភាពងាយរងគ្រោះគឺដើម្បីផ្តល់នូវសារឡើងវិញជាប្រព័ន្ធview ភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពដែលអាចកើតមាន និងការកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវ។ យើងចង់សង្កត់ធ្ងន់លើអនុសាសន៍ខាងក្រោម មុនពេលស្កេនឧបករណ៍អ័ក្សសម្រាប់ភាពងាយរងគ្រោះ ដើម្បីបង្កើនគុណភាពនៃរបាយការណ៍ស្កេន ក៏ដូចជាដើម្បីជៀសវាងកំហុសទូទៅ និងភាពវិជ្ជមានមិនពិត។

  • សូមប្រាកដថាកម្មវិធីបង្កប់របស់ឧបករណ៍ Axis មានភាពទាន់សម័យជាមួយនឹងការចេញផ្សាយចុងក្រោយបំផុត ទាំងនៅលើ AXIS OS long-term support (LTS) track ឬបទសកម្ម។ កម្មវិធីបង្កប់ចុងក្រោយរបស់ AXIS OS អាចទាញយកបាននៅទីនេះ។
  • ការណែនាំនៅក្នុង AXIS OS Hardening Guide គួរតែត្រូវបានអនុវត្តមុនពេលស្កេន ដើម្បីជៀសវាងភាពវិជ្ជមានមិនពិត ក៏ដូចជាត្រូវប្រាកដថាឧបករណ៍ Axis ត្រូវបានដំណើរការដោយយោងតាមការណែនាំអំពីសុវត្ថិភាពតាមអ៊ីនធឺណិតរបស់ Axis។
  • វាត្រូវបានណែនាំអោយធ្វើការស្កែនភាពងាយរងគ្រោះដែលហៅថា credentialed vulnerability ដែលឧ. ម៉ាស៊ីនស្កេនសុវត្ថិភាពត្រូវបានអនុញ្ញាតឱ្យចូលទៅក្នុងឧបករណ៍ Axis តាមរយៈ HTTP(S) ឬ SSH ។ ការស្កេនសុវត្ថិភាពដែលមានការទទួលស្គាល់មានប្រសិទ្ធភាពជាង ដោយសារផ្ទៃស្កេនត្រូវបានពង្រីកយ៉ាងខ្លាំង។
  • យើងសង្កត់ធ្ងន់លើសារៈសំខាន់នៃការធ្វើការស្កែនភាពងាយរងគ្រោះដោយប្រើប្រាស់ដៃគូដែលបានបង្កើតឡើងយ៉ាងល្អជាមួយនឹងចំណេះដឹងទូលំទូលាយ និងសំណុំជាក់លាក់នៃការស្កេនតាមអ័ក្សជាក់លាក់។ plugins នៅលើទីផ្សារដូចជា Tenable, Rapid7, Qualys ឬផ្សេងទៀត។

ការកត់សម្គាល់ទូទៅបំផុត

សមាសធាតុកម្មវិធីហួសសម័យ
ម៉ាស៊ីនស្កេនសុវត្ថិភាពផ្ទៃខាងក្រោយរំលេចនៅពេលដែលឧបករណ៍មួយកំពុងដំណើរការកំណែហួសសម័យនៃសមាសភាគកម្មវិធី។ វា​អាច​នឹង​កើត​ឡើង​ដែល​ម៉ាស៊ីន​ស្កេន​សុវត្ថិភាព​មិន​អាច​កំណត់​ថា​តើ​កំណែ​ណា​ដែល​កំពុង​ដំណើរការ​ពិត​ប្រាកដ ហើយ​ដាក់​ទង់​វា​យ៉ាង​ណា​ក៏​ដោយ។ ម៉ាស៊ីនស្កេនសុវត្ថិភាពគ្រាន់តែប្រៀបធៀបកំណែនៃសមាសធាតុកម្មវិធីដែលដំណើរការលើឧបករណ៍អ័ក្សធៀបនឹងកំណែចុងក្រោយបំផុតដែលមាន។ បន្ទាប់មកម៉ាស៊ីនស្កេនសុវត្ថិភាពនឹងបញ្ចេញបញ្ជីនៃភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាព បើទោះបីជាមិនមានការបញ្ជាក់ថាឧបករណ៍ដែលកំពុងត្រូវបានសាកល្បងគឺពិតជារងផលប៉ះពាល់បែបនេះក៏ដោយ។ នេះត្រូវបានគេសង្កេតឃើញជាមួយនឹងខឺណែលលីនុច, OpenSSL, Apache, BusyBox, OpenSSH, Curl, និងអ្នកដទៃ។
សមាសធាតុសូហ្វវែរប្រភពបើកចំហទទួលបានមុខងារថ្មីៗ ជួសជុលកំហុស និងបំណះសុវត្ថិភាពពេញមួយវគ្គនៃការអភិវឌ្ឍន៍របស់វា ដែលបណ្តាលឱ្យមានវដ្តនៃការចេញផ្សាយខ្ពស់។ ដូច្នេះ វាមិនមែនជារឿងចម្លែកទេដែលឧបករណ៍អ័ក្សដែលកំពុងត្រូវបានសាកល្បងមិនដំណើរការកំណែចុងក្រោយបំផុតនៃសមាសភាគកម្មវិធីនោះទេ។ ទោះជាយ៉ាងណាក៏ដោយ Axis កំពុងត្រួតពិនិត្យសមាសធាតុកម្មវិធីប្រភពបើកចំហសម្រាប់ភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាព ដែលអាចត្រូវបានចាត់ទុកថាជាកត្តាសំខាន់ដោយ Axis ហើយនឹងបោះផ្សាយវាស្របតាមការប្រឹក្សាផ្នែកសុវត្ថិភាព។
លក្ខខណ្ឌនៃរបាយការណ៍ទូទៅ

  • "កំណែដែលងាយរងគ្រោះនៃលីនុចត្រូវបានរកឃើញថាត្រូវបានប្រើប្រាស់"
  • "យោងទៅតាមបដារបស់វា កំណែនៃកម្មវិធី Apache កំពុងដំណើរការ"
  • "យោងទៅតាមបដារបស់វា កំណែរបស់ OpenSSL កំពុងដំណើរការ…"
  • “ការបង្ហាញកំណែម៉ាស៊ីនមេ (បឋមកថា)…”

ហានិភ័យ និងអនុសាសន៍
ចាប់ពី AXIS OS 10.6 ឡើងទៅ វាអាចបិទដំណើរការព័ត៌មានបឋមកថា OpenSSL និង Apache ដោយបិទប៉ារ៉ាម៉ែត្រ HTTP Server Header Comments ក្នុងការកំណត់ធម្មតា > ប្រព័ន្ធ។ វាអាចបណ្តាលឱ្យមានភាពងាយរងគ្រោះមិនត្រូវបានរកឃើញដោយម៉ាស៊ីនស្កេនសុវត្ថិភាព ចាប់តាំងពីកំណែកញ្ចប់មិនអាចកំណត់អត្តសញ្ញាណបានយ៉ាងងាយស្រួល។ Axis ផ្តល់អនុសាសន៍យ៉ាងខ្លាំងឱ្យរក្សាកម្មវិធីបង្កប់ឧបករណ៍ឱ្យទាន់សម័យ និងលើកទឹកចិត្តអ្នកឱ្យធ្វើសវនកម្មសុវត្ថិភាពនៅលើឧបករណ៍របស់អ្នក។

Apache web ម៉ាស៊ីនមេ

ផ្ទៃខាងក្រោយ
ឧបករណ៍អ័ក្សមានមូលដ្ឋានរបស់វា។ web ចំណុចប្រទាក់និងផ្សេងទៀត។ web- មុខងារទាក់ទងនឹង Apache web ម៉ាស៊ីនមេ។ នេះ។ web ម៉ាស៊ីនមេនៅក្នុងឧបករណ៍អ័ក្សត្រូវបានប្រើប្រាស់ជាចម្បងនៅក្នុងសេណារីយ៉ូពីរ៖

  • សម្រាប់ការទំនាក់ទំនងពីម៉ាស៊ីនទៅម៉ាស៊ីនក្នុងគោលបំណងទូទៅរវាងឧបករណ៍អ័ក្ស និងប្រព័ន្ធដែលវាត្រូវបានភ្ជាប់ទៅ ជាធម្មតាប្រព័ន្ធគ្រប់គ្រងវីដេអូដែលកំពុងចូលប្រើឧបករណ៍អ័ក្សតាមរយៈចំណុចប្រទាក់ API ដូចជា ONVIF និង VAPIX ។
  • កម្មវិធីដំឡើង អ្នកគ្រប់គ្រង និងអ្នកប្រើប្រាស់ចុងក្រោយអនុវត្តភារកិច្ចកំណត់រចនាសម្ព័ន្ធ និងថែទាំ (ដំបូង)។

កម្មវិធី Apache web server គឺជាកញ្ចប់ប្រភពបើកចំហដែលមានមូលដ្ឋានលើម៉ូឌុល។ ម៉ូឌុលនីមួយៗទាំងនេះអាចផ្ទុកនូវភាពងាយរងគ្រោះ។ ខាងក្រោមនេះគឺជាបញ្ជីនៃម៉ូឌុលដែលត្រូវបានផ្ទុក និងប្រើប្រាស់ជាទូទៅនៅលើឧបករណ៍អ័ក្ស៖

ស្នូល_ម៉ូឌុល (ឋិតិវន្ត) unixd_module (ចែករំលែក) authn_core_module (ចែករំលែក) proxy_fcgi_module (ចែករំលែក) អ្នកនិពន្ធ en-coded_user_file_ម៉ូឌុល (ចែករំលែក)
so_module (ឋិតិវន្ត) alias_module (ចែករំលែក) ម៉ូឌុលស្នូលនៃការផ្ទៀងផ្ទាត់ (ចែករំលែក) proxy_http_module (ចែករំលែក) ម៉ូឌុលចូលប្រើការផ្ទៀងផ្ទាត់ (ចែករំលែក)
filter_module (ឋិតិវន្ត) ម៉ូឌុលសរសេរឡើងវិញ (ចែករំលែក) ភាពត្រឹមត្រូវ file ម៉ូឌុល (ចែករំលែក) proxy_wstunnel_mod- ule (ចែករំលែក) trax_module (ចែករំលែក)
brotli_module (ឋិតិវន្ត) cgid_module (ចែករំលែក) ម៉ូឌុលអ្នកប្រើប្រាស់ authz (ចែករំលែក) ម៉ូឌុលបឋមកថា (ចែករំលែក) iptos_module (ចែករំលែក)
http_module (ឋិតិវន្ត) log_config_module (ចែករំលែក) authz_owner_module (ចែករំលែក) http2_module (ចែករំលែក) axsyslog_module (ចែករំលែក)

ការកត់សម្គាល់ទូទៅបំផុត

suexec_module (ឋិតិវន្ត) setenvif_module (ចែករំលែក) auth_digest_module (ចែករំលែក) systemd_module (ចែករំលែក) ws_module (ចែករំលែក)
mime_module (ចែករំលែក) ssl_module (ចែករំលែក) auth_basic_module (ចែករំលែក) authn axisbasic mod-ule (ចែករំលែក)
mpm_worker_module (ចែករំលែក) socache_shmcb_mod- ule (ចែករំលែក) proxy_module (ចែករំលែក) authz_axisgroupfile_ម៉ូឌុល (ចែករំលែក)

ភាពងាយរងគ្រោះដែលអនុវត្តចំពោះម៉ូឌុលជាក់លាក់មួយនៅក្នុង Apache ចាំបាច់ត្រូវផ្ទុក និងប្រើប្រាស់ដោយឧបករណ៍គែមអ័ក្ស។ ភាពងាយរងគ្រោះនៃម៉ូឌុលដែលមិនត្រូវបានផ្ទុកគឺមិនពាក់ព័ន្ធទេ។
លក្ខខណ្ឌនៃរបាយការណ៍ទូទៅ

  • “Apache HTTPD៖ ការប្រើប្រាស់ mod_proxy_ftp នៃតម្លៃដែលមិនធ្លាប់មាន (CVE-2020-1934)”

ហានិភ័យ និងអនុសាសន៍
ភាពងាយរងគ្រោះរបស់ Apache ជាធម្មតានឹងបង្កើនហានិភ័យសម្រាប់សាធារណៈជន web សេវា​ដែល​បាន​លាតត្រដាង​តាម​អ៊ីនធឺណិត​កំណត់​គោលដៅ​អ្នកប្រើប្រាស់​សាធារណៈ។ នេះ។ web ម៉ាស៊ីនមេនៅក្នុងឧបករណ៍អ័ក្សគួរតែត្រូវបានប្រើដោយអ្នកដំឡើង អ្នកគ្រប់គ្រង និងអ្នកថែទាំប៉ុណ្ណោះ។ វាមិនត្រូវបានណែនាំអោយបង្ហាញឧបករណ៍ Axis ដើម្បីអាចចូលប្រើបានតាមអ៊ីនធឺណិតទេ ហើយក៏មិនគួរអ្នកប្រើប្រាស់មានសិទ្ធិប្រើប្រាស់ web កម្មវិធីរុករកតាមអ៊ីនធឺណិតដើម្បីចូលប្រើឧបករណ៍ក្នុងអំឡុងពេលប្រតិបត្តិការប្រចាំថ្ងៃ។ ការគ្រប់គ្រងសុវត្ថិភាពបន្ថែមដូចជាតារាង IP អនុញ្ញាតឱ្យតែអតិថិជនដែលបានអនុម័តចូលប្រើប្រាស់ និងបិទ/ទប់ស្កាត់ web កម្មវិធីរុករកតាមអ៊ីនធឺណិតពីការចូលប្រើអាចត្រូវបានអនុវត្តដើម្បីកាត់បន្ថយហានិភ័យបន្ថែមទៀត។

OpenSSL

ផ្ទៃខាងក្រោយ
ឧបករណ៍អ័ក្សប្រើប្រាស់ OpenSSL ជាសមាសធាតុស្នូលសុវត្ថិភាពទូទៅ ដើម្បីផ្តល់មុខងារសុវត្ថិភាពសម្រាប់ករណីប្រើប្រាស់ HTTPS វិញ្ញាបនបត្រ និងអ៊ិនគ្រីប។ “កំណែ OpenSSL ហួសសម័យ” គឺជាការស្កេនទូទៅនៅលើឧបករណ៍ Axis ហើយភាពងាយរងគ្រោះថ្មីត្រូវបានរកឃើញជាញឹកញាប់នៅក្នុង OpenSSL ។
ស្រដៀងទៅនឹង Apache web ម៉ាស៊ីនមេ OpenSSL គឺជាវេទិកាដែលមានមូលដ្ឋានលើម៉ូឌុល។ សូមមើលខាងក្រោមបញ្ជីនៃម៉ូឌុលដែលមិនត្រូវបានប្រើប្រាស់ដោយផលិតផលអ័ក្ស៖

គ្មាន camellia គ្មានចង្វាក់បេះដូង no-mdc2 ទេ - សម រង្ស៊ី
គ្មានគម្រប no-hw no-rc5 គ្មាន​ចំណង​រង
គ្មានកាលបរិច្ឆេទ គ្មានគំនិត គ្មាន SCTP
no-dtls1 គ្មាន-md2 គ្មានគ្រាប់ពូជ

ភាពងាយរងគ្រោះដែលអនុវត្តចំពោះម៉ូឌុលជាក់លាក់មួយនៅក្នុង OpenSSL ចាំបាច់ត្រូវផ្ទុក និងប្រើប្រាស់ដោយឧបករណ៍គែមអ័ក្ស។ ភាពងាយរងគ្រោះនៃម៉ូឌុលដែលមិនត្រូវបានផ្ទុកគឺមិនពាក់ព័ន្ធ ប៉ុន្តែអាចនៅតែត្រូវបានសម្គាល់ដោយឧបករណ៍ស្កែន។
ហានិភ័យ និងការណែនាំ ភាពងាយរងគ្រោះនៅក្នុង OpenSSL មិនបង្កហានិភ័យណាមួយទេ ប្រសិនបើប្រព័ន្ធមិនប្រើប្រាស់សេវាកម្មដូចជា HTTPS ឬ 802.1x (TLS), SRTP (RTSPS) ឬ SNMPv3។ វាមិនអាចទៅរួចទេក្នុងការសម្របសម្រួលឧបករណ៍ខ្លួនវា ដោយសារការវាយប្រហារដ៏មានសក្តានុពលនឹងកំណត់គោលដៅនៃការតភ្ជាប់ និងចរាចរណ៍ TLS ។ ការទាញយកភាពងាយរងគ្រោះ OpenSSL តម្រូវឱ្យមានការចូលទៅកាន់បណ្តាញ ជំនាញខ្ពស់ និងការប្តេជ្ញាចិត្តច្រើន។

វិញ្ញាបនបត្រចុះហត្ថលេខាដោយខ្លួនឯង។

ផ្ទៃខាងក្រោយ
ឧបករណ៍អ័ក្សភ្ជាប់មកជាមួយវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯងដែលត្រូវបានបង្កើតដោយស្វ័យប្រវត្តិនៅពេលចាប់ផ្ដើមដំបូង ដើម្បីផ្តល់លទ្ធភាពចូលប្រើផលិតផលតាមរយៈការតភ្ជាប់ HTTPS ដែលបានអ៊ិនគ្រីប និងបន្តការដំឡើងផលិតផលដំបូង។ ម៉ាស៊ីនស្កេនសុវត្ថិភាពអាចបញ្ជាក់ពីអត្ថិភាពនៃវិញ្ញាបនបត្រដែលបានចុះហត្ថលេខាដោយខ្លួនឯងថាមិនមានសុវត្ថិភាព ហើយអ័ក្សណែនាំអោយដកវិញ្ញាបនបត្រដែលបានចុះហត្ថលេខាដោយខ្លួនឯងចេញពីឧបករណ៍ ហើយជំនួសវាដោយវិញ្ញាបនបត្រម៉ាស៊ីនមេដែលជឿទុកចិត្តនៅក្នុងស្ថាប័នរបស់អ្នក។ វិញ្ញាបនបត្រដែលបានចុះហត្ថលេខាដោយខ្លួនឯងផ្តល់ក្នុងន័យថាយន្តការសម្ងាត់ និងសុវត្ថិភាពសម្រាប់ការកំណត់រចនាសម្ព័ន្ធដំបូង ប៉ុន្តែតម្រូវឱ្យអ្នកប្រើប្រាស់នៅតែពិនិត្យមើលភាពត្រឹមត្រូវនៃឧបករណ៍ខ្លួនឯង។
លក្ខខណ្ឌនៃរបាយការណ៍ទូទៅ

  • “វិញ្ញាបនបត្រ SSL មិនអាចជឿទុកចិត្តបាន…”
  • "វិញ្ញាបនបត្រ SSL ដែលចុះហត្ថលេខាដោយខ្លួនឯង"
  • "មុខវិជ្ជាវិញ្ញាបនបត្រ X.509 CN មិនត្រូវគ្នានឹងឈ្មោះអង្គភាព..."

ហានិភ័យ និងអនុសាសន៍
វិញ្ញាបនបត្រដែលបានចុះហត្ថលេខាដោយខ្លួនឯងផ្តល់នូវការអ៊ិនគ្រីបបណ្តាញ ប៉ុន្តែមិនការពារពីការវាយប្រហារដោយមនុស្សនៅកណ្តាល (សេវាក្រហមដែលក្លែងបន្លំជាសេវាកម្មបណ្តាញស្របច្បាប់)។ ប្រសិនបើប្រើសេវាកម្មដូចជា HTTPS ឬ 802.x វាត្រូវបានណែនាំអោយប្រើ Certificate Authority (CA) វិញ្ញាបនបត្រដែលបានចុះហត្ថលេខា។ ទាំងនេះត្រូវតែត្រូវបានផ្គត់ផ្គង់ដោយម្ចាស់ប្រព័ន្ធដោយប្រើ CA សាធារណៈ ឬឯកជន។ ប្រសិនបើមិនប្រើ HTTPS ឬ 802.1x វាគ្មានហានិភ័យទេ ហើយភាពងាយរងគ្រោះនៅក្នុង OpenSSL មូលដ្ឋានមិនអាចប្រើដើម្បីសម្របសម្រួលឧបករណ៍អ័ក្សបានទេ។ សម្រាប់ឧបករណ៍ Axis មានលក្ខណៈពិសេស Axis Edge Vault វិញ្ញាបនបត្រដែលបានចុះហត្ថលេខាដោយខ្លួនឯងត្រូវបានជំនួសដោយវិញ្ញាបនបត្រលេខសម្គាល់ឧបករណ៍ IEEE 802.1AR ។
ប្រវែងសោ RSA
ផ្ទៃខាងក្រោយ
ដោយសារឧបករណ៍ Axis ភ្ជាប់មកជាមួយវិញ្ញាបនបត្រដែលបានចុះហត្ថលេខាដោយខ្លួនឯងដែលបានផ្ទុកជាមុន ឧបករណ៍មួយចំនួនមានប្រវែងគន្លឹះខ្លីជាងសម្រាប់វិញ្ញាបនបត្រជាង 2048 ប៊ីត។ វិញ្ញាបនបត្រក៏មានប្រវែងប៊ីតមិនស្តង់ដារផងដែរ ដើម្បីធានាថា CA ល្បីឈ្មោះភាគច្រើននឹងបដិសេធសំណើចុះហត្ថលេខានេះ។ ម៉ាស៊ីនស្កេនសុវត្ថិភាពអាចរំលេចវាថាមិនមានសុវត្ថិភាព ហើយវាត្រូវបានណែនាំអោយជំនួសវិញ្ញាបនបត្រនេះមុនពេលដាក់ពង្រាយផលិតកម្ម ព្រោះវាត្រូវបានបម្រុងទុកសម្រាប់តែការដំឡើងដំបូងប៉ុណ្ណោះ។
លក្ខខណ្ឌនៃរបាយការណ៍ទូទៅ

  • “ខ្សែសង្វាក់វិញ្ញាបនបត្រ SSL មានគ្រាប់ចុច RSA តិចជាង 2048 ប៊ីត…”
  • "ប្រវែងនៃម៉ូឌុល RSA នៅក្នុងវិញ្ញាបនបត្រ X.509: 1536 ប៊ីត (តិចជាង 2048 ប៊ីត) ... "

ហានិភ័យ និងអនុសាសន៍
ភាពងាយរងគ្រោះនេះមិនអាចប្រើដើម្បីសម្របសម្រួលឧបករណ៍បានទេ។ ប្រវែងសោដែលបានចុះហត្ថលេខាដោយខ្លួនឯងលំនាំដើមនៃឧបករណ៍អ័ក្សត្រូវបានកំណត់ទៅ 1536 ប៊ីត ដើម្បីកាត់បន្ថយភាពយឺតនៃការតភ្ជាប់ និងពេលវេលាដើម្បីបង្កើតវិញ្ញាបនបត្រ និងសោ។ ប្រវែងគន្លឹះនេះផ្តល់នូវការការពារគ្រប់គ្រាន់សម្រាប់កិច្ចការរដ្ឋបាលដូចជា ការកំណត់ពាក្យសម្ងាត់គណនីឧបករណ៍ឡើងវិញ និងការដំឡើងដំបូងនៃឧបករណ៍អ័ក្ស។ វាត្រូវបានផ្ដល់អនុសាសន៍ឱ្យជំនួសវិញ្ញាបនបត្រលំនាំដើមជាមួយនឹងវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយ CA ដែលគួរតែត្រូវបានផ្តល់ដោយម្ចាស់ប្រព័ន្ធ។
ការកំណត់ស៊ីប
ផ្ទៃខាងក្រោយ
តាមរយៈការអាប់ដេតកម្មវិធីបង្កប់ជាទៀងទាត់ បញ្ជីនៃលេខសម្ងាត់ដែលមាននៃឧបករណ៍អ័ក្សអាចទទួលបានការអាប់ដេតដោយគ្មានការកំណត់រចនាសម្ព័ន្ធសម្ងាត់ពិតប្រាកដត្រូវបានផ្លាស់ប្តូរ។ ការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធអក្សរសម្ងាត់ត្រូវតែត្រូវបានផ្តួចផ្តើមដោយអ្នកប្រើប្រាស់ ដោយអនុវត្តលំនាំដើមពីរោងចក្រនៃឧបករណ៍អ័ក្ស ឬតាមរយៈការកំណត់រចនាសម្ព័ន្ធអ្នកប្រើប្រាស់ដោយដៃ។ ចាប់ពី AXIS OS 10.8 ឡើងទៅ បញ្ជីនៃកូដសម្ងាត់ត្រូវបានធ្វើបច្ចុប្បន្នភាពដោយស្វ័យប្រវត្តិនៅពេលអ្នកប្រើចាប់ផ្តើមអាប់ដេតកម្មវិធីបង្កប់។
លក្ខខណ្ឌនៃរបាយការណ៍ទូទៅ

  • “សោរកូដសម្ងាត់ខ្សោយ…”
  • “ម៉ាស៊ីនមេ TLS/SSL គាំទ្រការប្រើប្រាស់កូដសម្ងាត់ឋិតិវន្ត…”

វាត្រូវបានផ្ដល់អនុសាសន៍ឱ្យប្រើអក្សរសម្ងាត់ខ្លាំងបំផុតសម្រាប់ការអ៊ិនគ្រីប HTTPS ជានិច្ចនៅពេលដែលអាចធ្វើទៅបាន។
TLS 1.2 និងទាបជាងនេះ៖ នៅពេលប្រើ TLS 1.2 ឬទាបជាងនេះ អ្នកអាចបញ្ជាក់ HTTPS ciphers ដែលត្រូវប្រើក្នុង Plain Config > HTTPS > Ciphers បន្តដោយការចាប់ផ្ដើមឧបករណ៍អ័ក្ស។ អ័ក្សណែនាំអោយជ្រើសរើសអក្សរសម្ងាត់ដែលបានពិចារណាខ្លាំងខាងក្រោមទាំងអស់ ឬណាមួយ (បានធ្វើបច្ចុប្បន្នភាពខែកញ្ញា ឆ្នាំ 2021) ឬធ្វើការជ្រើសរើសដែលអ្នកចង់បាន។
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCMSHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
TLS 1.3៖ នៅពេលប្រើ TLS 1.3 ប៉ារ៉ាម៉ែត្រ HTTPS ciphers នៅក្នុង Config ធម្មតាមិនមានប្រសិទ្ធិភាពដូចលំនាំដើមទេ មានតែអក្សរសម្ងាត់ខ្លាំងយោងទៅតាម TLS 1.3 នឹងត្រូវបានជ្រើសរើស។ ការជ្រើសរើសមិនអាចផ្លាស់ប្តូរដោយអ្នកប្រើប្រាស់ទេ ហើយត្រូវបានធ្វើបច្ចុប្បន្នភាពតាមរយៈការអាប់ដេតកម្មវិធីបង្កប់ប្រសិនបើចាំបាច់។ បច្ចុប្បន្ន លេខសម្ងាត់គឺ (ធ្វើបច្ចុប្បន្នភាពខែកញ្ញា ឆ្នាំ 2021)៖
TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384Web សុន្ទរកថារបស់ម៉ាស៊ីនមេ

Web សុន្ទរកថារបស់ម៉ាស៊ីនមេ

បូអា web ម៉ាស៊ីនមេ
ផ្ទៃខាងក្រោយ
ឧបករណ៍អ័ក្សដែលមានកម្មវិធីបង្កប់កំណែ 5.65 និងទាបជាងប្រើប្រាស់ Boa web ម៉ាស៊ីនមេសម្រាប់ web ចំណុចប្រទាក់និង web- មុខងារដែលទាក់ទង។ នេះ។ web ម៉ាស៊ីនមេនៅក្នុងឧបករណ៍អ័ក្សកំពុងត្រូវបានប្រើប្រាស់ជាចម្បងនៅក្នុងសេណារីយ៉ូពីរ៖

  • សម្រាប់ការទំនាក់ទំនងពីម៉ាស៊ីនទៅម៉ាស៊ីនក្នុងគោលបំណងទូទៅរវាងឧបករណ៍អ័ក្ស និងប្រព័ន្ធដែលវាត្រូវបានភ្ជាប់ទៅ ជាធម្មតាប្រព័ន្ធគ្រប់គ្រងវីដេអូដែលកំពុងចូលប្រើឧបករណ៍អ័ក្សតាមរយៈចំណុចប្រទាក់ API ដូចជា ONVIF និង VAPIX ។
  • សម្រាប់ភារកិច្ចកំណត់រចនាសម្ព័ន្ធ និងថែទាំដែលអនុវត្តដោយអ្នកដំឡើង អ្នកគ្រប់គ្រង និងអ្នកប្រើប្រាស់ចុងក្រោយ។

ស្រដៀងទៅនឹង Apache ជំនាន់ថ្មី។ web ម៉ាស៊ីនមេដែលត្រូវបានប្រើប្រាស់ដោយឧបករណ៍ Axis ជាមួយនឹងកម្មវិធីបង្កប់ថ្មីជាងនេះគឺ Boa web server អាចរងផលប៉ះពាល់ដោយភាពងាយរងគ្រោះ។ ម៉ាស៊ីនស្កែនសុវត្ថិភាពអាចមិនស្គាល់ web server ដែលប្រើក្នុងឧបករណ៍ Axis ចាស់ៗ ហើយដូច្នេះគ្រាន់តែសន្មតថាឧបករណ៍ទាំងនេះប្រើប្រាស់ Apache web ម៉ាស៊ីនមេ។ ភាពងាយរងគ្រោះដែលអនុវត្តចំពោះ Apache web ម៉ាស៊ីនមេមិនអនុវត្តចំពោះ Boa ទេ។ web ម៉ាស៊ីនមេតាមលំនាំដើម ប្រសិនបើមិនបានបញ្ជាក់។
លក្ខខណ្ឌនៃរបាយការណ៍ទូទៅ

  • "យោងទៅតាមបដារបស់វា កំណែរបស់ Apache កំពុងដំណើរការ…"
  • "កំណែ Apache HTTPd ដែលបានដំឡើងនៅលើម៉ាស៊ីនពីចម្ងាយគឺមុន 2.4.46 ។ ដូច្នេះ វាត្រូវបានរងផលប៉ះពាល់ដោយភាពងាយរងគ្រោះជាច្រើន…”

Apache Struts និង Apache Tomcat
ផ្ទៃខាងក្រោយ
ដូចដែលបានពិពណ៌នានៅក្នុង Apache web server នៅលើទំព័រទី 4 ឧបករណ៍អ័ក្សមានមូលដ្ឋានរបស់វា។ web ចំណុចប្រទាក់និង web- មុខងារពាក់ព័ន្ធនៅលើ Apache ប្រភពបើកចំហ web ម៉ាស៊ីនមេ។ រសជាតិផ្សេងទៀតនៃ Apache web ម៉ាស៊ីនមេមានដូចជា Apache Struts ឬ Tomcat ប៉ុន្តែមិនត្រូវបានប្រើប្រាស់នៅក្នុងឧបករណ៍អ័ក្សទេ។ Axis ប្រើប្រាស់ Apache ប្រភពបើកចំហធម្មតា។ web ការអនុវត្តម៉ាស៊ីនមេនៃ Apache Software Foundation (ASF) ។
លក្ខខណ្ឌនៃរបាយការណ៍ទូទៅ

  • “ភាពងាយរងគ្រោះមួយត្រូវបានរកឃើញនៅក្នុង Apache Tomcat…”
  • "ឧបករណ៍ញែកពហុផ្នែក Jakarta នៅក្នុង Apache Struts ... "

Web វគ្គអ្នកប្រើប្រាស់
ឧបករណ៍អ័ក្សផ្ទៃខាងក្រោយមានមូលដ្ឋានរបស់វា។ web ចំណុចប្រទាក់និងផ្សេងទៀត។ web- មុខងារទាក់ទងនឹង Apache web ម៉ាស៊ីនមេ។ នេះ។ web ម៉ាស៊ីនមេនៅក្នុងឧបករណ៍អ័ក្សត្រូវបានប្រើប្រាស់ជាចម្បងនៅក្នុងសេណារីយ៉ូពីរ៖

  • សម្រាប់ការទំនាក់ទំនងរវាងម៉ាស៊ីនទៅម៉ាស៊ីនដែលមានគោលបំណងទូទៅរវាងឧបករណ៍អ័ក្ស និងប្រព័ន្ធ វាត្រូវបានភ្ជាប់ទៅ ជាធម្មតាគឺជាប្រព័ន្ធគ្រប់គ្រងវីដេអូដែលកំពុងចូលប្រើឧបករណ៍អ័ក្សតាមរយៈចំណុចប្រទាក់ API ដូចជា ONVIF និង VAPIX ។
  • នៅពេលអ្នកដំឡើង អ្នកគ្រប់គ្រង និងអ្នកប្រើប្រាស់ចុងក្រោយអនុវត្ត (ដំបូង) ការងារកំណត់រចនាសម្ព័ន្ធ និងថែទាំ។

បច្ចុប្បន្ន ឧបករណ៍ Axis មិនគាំទ្រប្រពៃណីទេ។ web វគ្គផ្អែកលើអ្នកប្រើប្រាស់ដែលជាកន្លែងដែលវាអាចធ្វើទៅបានសម្រាប់ web សម័យដើម្បីឧទាហរណ៍ ចេញ ឬផុតកំណត់ដោយស្វ័យប្រវត្តិបន្ទាប់ពីចំនួនជាក់លាក់នៃពេលវេលាអសកម្មរបស់អ្នកប្រើ ខណៈពេលដែលបង្អួចកម្មវិធីរុករកបើក។ រាល់ការស្នើសុំតាមរយៈ web ម៉ាស៊ីនមេនៅលើឧបករណ៍អ័ក្សត្រូវតែផ្ទៀងផ្ទាត់ឱ្យបានត្រឹមត្រូវ ដើម្បីដំណើរការមុនពេលជាក់លាក់ web វគ្គបើកសម្រាប់ការទំនាក់ទំនងបន្ថែម។ ដើម្បីបិទយ៉ាងសកម្ម ក web វគ្គ កម្មវិធីរុករកត្រូវតែបិទ។
លក្ខខណ្ឌនៃរបាយការណ៍ទូទៅ

  • “វគ្គអ្នកប្រើប្រាស់ដំណាលគ្នា…”
  • "ការបញ្ចប់សម័យមិនគ្រប់គ្រាន់ និងការផុតកំណត់..."
  • “កម្មវិធី​ខ្វះ​មុខងារ​ចេញ​ពី​ក្រៅ…”

ហានិភ័យ និងអនុសាសន៍
Axis ណែនាំឱ្យចូលប្រើឧបករណ៍តាមរយៈកម្មវិធី ដូចជាប្រព័ន្ធគ្រប់គ្រងវីដេអូ (VMS) ជាម៉ាស៊ីនភ្ញៀវវីដេអូចម្បងជំនួសឱ្យការប្រើប្រាស់ web browser ប្រសិនបើនេះជាប្រធានបទនៃការព្រួយបារម្ភ។ ទោះយ៉ាងណាក៏ដោយប្រសិនបើ web កម្មវិធីរុករកតាមអ៊ីនធឺណិតគឺជាម៉ាស៊ីនភ្ញៀវវីដេអូតែមួយគត់ដែលមាន មានការណែនាំដូចខាងក្រោមក្នុងចិត្ត៖

  • កុំទៅលេងដែលមិនគួរឱ្យទុកចិត្ត webគេហទំព័រ ឬបើកអ៊ីមែលពីអ្នកផ្ញើដែលមិនគួរឱ្យទុកចិត្ត (នេះជាការពិតណាស់ការណែនាំអំពីការការពារអ៊ីនធឺណិតទូទៅ)។
  • ប្រើកម្មវិធីរុករកផ្សេង ដែលមិនមែនជាលំនាំដើមរបស់ប្រព័ន្ធ ដើម្បីកំណត់រចនាសម្ព័ន្ធឧបករណ៍អ័ក្ស។
  • បង្កើត ក viewer គណនីនៅលើឧបករណ៍ ហើយប្រើវានៅពេលណា viewនៅក្នុងការផ្សាយវីដេអូ។ នេះ។ viewគណនី er មានសិទ្ធិតិចតួចបំផុត និងគ្មានសិទ្ធិផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធឧបករណ៍អ័ក្សទេ។
  • កុំទុកកម្មវិធីរុករកតាមអ៊ីនធឺណិតដោយមិនចាំបាច់បើកបន្ទាប់ពីការកំណត់រចនាសម្ព័ន្ធ ដើម្បីបង្រួមបង្អួចវាយប្រហារ។

ការកត់សម្គាល់កម្មវិធីបង្កប់

ខ្សែអក្សរកំណែកម្មវិធីបង្កប់អ័ក្ស
ផ្ទៃខាងក្រោយ
Axis បង្ហាញភាពងាយរងគ្រោះ និងផ្តល់នូវកម្មវិធីបង្កប់ដែលបានធ្វើបច្ចុប្បន្នភាពជាមួយនឹងការជួសជុលសុវត្ថិភាព ដូច្នេះអតិថិជនអាចធ្វើបច្ចុប្បន្នភាព និងកាត់បន្ថយហានិភ័យដែលអាចកើតមាន។ ម៉ាស៊ីនស្កេនសុវត្ថិភាពជាធម្មតាអនុវត្តការប្រៀបធៀបដែលមានកម្រិតនៃកំណែកម្មវិធីបង្កប់ដែលផលិតផល Axis កំពុងដំណើរការប្រឆាំងនឹងកម្មវិធីបង្កប់ចាស់ ហួសសម័យ ដែលអាចផ្ទុកនូវភាពងាយរងគ្រោះ។ ម៉ាស៊ីនស្កេនសុវត្ថិភាពអាចមិនស្គាល់កម្មវិធីបង្កប់អ័ក្សត្រឹមត្រូវ ដែលបណ្តាលឱ្យម៉ាស៊ីនស្កេនដាក់ទង់កម្មវិធីបង្កប់ដែលកំពុងដំណើរការថាងាយរងគ្រោះ ឬមិនមានសុវត្ថិភាព។ តែងតែពិគ្រោះជាមួយកំណត់ចំណាំចេញផ្សាយសម្រាប់កំណែកម្មវិធីបង្កប់នៃផលិតផលដែលកំពុងត្រូវបានសាកល្បង ចាប់តាំងពីបំណះភាពងាយរងគ្រោះធ្ងន់ធ្ងរ ឬធ្ងន់ធ្ងរត្រូវបានរាយក្នុងឯកសារនេះ។
វាអាចបណ្តាលឱ្យមានការភ័ន្តច្រឡំ ប្រសិនបើឧបករណ៍ Axis កំពុងដំណើរការកំណែកម្មវិធីបង្កប់ផ្ទាល់ខ្លួន ឬប្រសិនបើម៉ាស៊ីនស្កេនសុវត្ថិភាពមិនត្រូវបានធ្វើបច្ចុប្បន្នភាពជាមួយនឹងព័ត៌មានចុងក្រោយបំផុតនៃកម្មវិធីបង្កប់អ័ក្សដែលមាន។ ខាងក្រោមនេះគឺជាអតីតមួយចំនួនamples of Axis firmware version strings:

  • ០ .១
  • 9.70 .1_ បេតា
  •  ៩.៧០ .១. ៥

លក្ខខណ្ឌនៃរបាយការណ៍ទូទៅ

  • “ភាពងាយរងគ្រោះច្រើនអ័ក្ស (ACV-128401)…”

ការចែកចាយលីនុច និងកម្មវិធីគ្រប់គ្រងកញ្ចប់ដែលភ្ជាប់មកជាមួយ
ផ្ទៃខាងក្រោយ
ម៉ាស៊ីនស្កេនសុវត្ថិភាពអាចគាំទ្រអ្វីដែលគេហៅថា "ការស្កេនអត្តសញ្ញាណ" ដោយប្រើទិន្នន័យចូលតាមរយៈ web ចូល (HTTP) ឬតាមរយៈការចូលដំណើរការថែទាំ (SSH) ដើម្បីទទួលបានព័ត៌មានបន្ថែមអំពីឧបករណ៍ ប្រព័ន្ធប្រតិបត្តិការរបស់វា និងកម្មវិធីផ្សេងទៀតដែលអាចដំណើរការលើវា។ ការចែកចាយលីនុចគឺជាកំណែ Poky (OpenEmbedded) ដែលមានបំណះក្នុងស្រុក និងខាងលើ ដែលអាចមិនត្រូវគ្នា ឬអាចត្រូវបានទទួលស្គាល់ដោយម៉ាស៊ីនស្កេនសុវត្ថិភាព។ លើសពីនេះ ម៉ាស៊ីនស្កេនសុវត្ថិភាពអាចរំពឹងថានឹងប្រើប្រាស់កម្មវិធីគ្រប់គ្រងកញ្ចប់ ដែលមិនត្រូវបានប្រើនៅក្នុងផលិតផល Axis។
ខាងក្រោមនេះគឺជាការប្រៀបធៀបនៃគ្រោងការណ៍ដាក់ឈ្មោះរវាងការចែកចាយដែលប្រើដោយអ័ក្ស និងការចែកចាយលីនុចស្តង់ដារ។ ចំណាំថាក្រោយមកទៀតអាចនឹងត្រូវបានទទួលស្គាល់ដោយម៉ាស៊ីនស្កេនសុវត្ថិភាព និងឆ្លងកាត់ខណៈពេលដែលកំណែអ័ក្សមិនអាច។ ដើម្បី​បង្ហាញ​ពី​ចំណុច​នេះ យើង​មាន​អ័ក្ស​ជាក់លាក់ 4.9.206-axis និង Linux-generic 54.9.206-generic version strings។
លក្ខខណ្ឌនៃរបាយការណ៍ទូទៅ

  • "ការត្រួតពិនិត្យសុវត្ថិភាពក្នុងតំបន់មិនត្រូវបានបើកទេ ដោយសារការចែកចាយលីនុចពីចម្ងាយមិនត្រូវបានគាំទ្រ..."

កម្មវិធីបង្កប់ និងបន្ទះឈីបដែលមិនបានអ៊ិនគ្រីប
ផ្ទៃខាងក្រោយ
ម៉ាស៊ីនស្កេនសុវត្ថិភាពអាចគូសបញ្ជាក់ពីការប្រើប្រាស់បន្ទះសៀគ្វីដែលប្រើក្នុងឧបករណ៍អ័ក្ស ហើយសម្គាល់ពួកវា ឬសញ្ញា fileប្រព័ន្ធដូចជា "មិនបានអ៊ិនគ្រីប" ។ ឧបករណ៍​អ័ក្ស​ធ្វើ​ការ​អ៊ិនគ្រីប​ការ​សម្ងាត់​របស់​អ្នក​ប្រើ​ដូច​ជា​ពាក្យ​សម្ងាត់ វិញ្ញាបនបត្រ សោ និង​ផ្សេងទៀត។ files ដោយមិនចាំបាច់អ៊ិនគ្រីប fileប្រព័ន្ធ។ ឧបករណ៍ផ្ទុកក្នុងតំបន់ដែលអាចដកចេញបាន ដូចជាកាត SD ត្រូវបានអ៊ិនគ្រីបដោយប្រើការអ៊ិនគ្រីប LUKS ។
លក្ខខណ្ឌនៃរបាយការណ៍ទូទៅ

  • "បន្ទះឈីប flash ដែលមាន root file ប្រព័ន្ធរបស់ឧបករណ៍មិនត្រូវបានអ៊ិនគ្រីបទេ…។”
  • "ព័ត៌មានត្រូវបានស្រង់ចេញពីរូបភាពកម្មវិធីបង្កប់ដែលមិនបានអ៊ិនគ្រីប រួមទាំង…."

ហានិភ័យ និងអនុសាសន៍
ភាពងាយរងគ្រោះនេះមិនអាចប្រើដើម្បីសម្របសម្រួលឧបករណ៍បានទេ។ កម្មវិធីបង្កប់មិនមានអាថ៌កំបាំងណាមួយតាមលំនាំដើមឡើយ ហើយមិនត្រូវការការការពារផ្សេងទៀតក្រៅពីហត្ថលេខារបស់កម្មវិធីបង្កប់ ដើម្បីបញ្ជាក់ភាពត្រឹមត្រូវនោះទេ។ កម្មវិធីដែលបានអ៊ិនគ្រីបធ្វើឱ្យវាកាន់តែពិបាកសម្រាប់អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពក្នុងការកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះថ្មី (មិនស្គាល់) ហើយកម្មវិធីដែលបានអ៊ិនគ្រីបអាចត្រូវបានប្រើប្រាស់ដោយអ្នកលក់ដើម្បីលាក់កំហុសដោយចេតនា (សុវត្ថិភាពតាមរយៈភាពមិនច្បាស់លាស់)។ សម្រាប់ឧបករណ៍អ័ក្ស ការចូលប្រើជា root គឺតម្រូវឱ្យចូលប្រើ fileប្រព័ន្ធនៃឧបករណ៍ដើម្បីទទួលបានការចូលប្រើវា។ ព័ត៌មានរសើបដូចជាពាក្យសម្ងាត់ត្រូវបានរក្សាទុកដោយអ៊ិនគ្រីបនៅលើ fileប្រព័ន្ធ និងទាមទារកម្រិតខ្ពស់នៃភាពស្មុគស្មាញ ជំនាញ ពេលវេលា និងការប្តេជ្ញាចិត្តក្នុងការស្រង់ចេញ។ ត្រូវប្រាកដថាប្រើពាក្យសម្ងាត់ឫសខ្លាំង ហើយរក្សាវាឱ្យការពារ។ ការប្រើពាក្យសម្ងាត់ដូចគ្នាសម្រាប់កាមេរ៉ាច្រើនជួយសម្រួលការគ្រប់គ្រង ប៉ុន្តែបង្កើនហានិភ័យ ប្រសិនបើសុវត្ថិភាពរបស់កាមេរ៉ាមួយត្រូវបានសម្របសម្រួល។
កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ
ម៉ាស៊ីនស្កេនសុវត្ថិភាពផ្ទៃខាងក្រោយអាចជឿថាពួកគេបានកំណត់អត្តសញ្ញាណការបង្កើត និងគំរូនៃការអនុវត្តកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធដែលប្រើនៅក្នុងឧបករណ៍ Axis ហើយដូច្នេះអាចរំលេចភាពងាយរងគ្រោះទាក់ទងនឹងការចាប់ផ្ដើមសុវត្ថិភាព ឬកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធដោយខ្លួនឯង។ វីដេអូ និង​ផលិតផល​អូឌីយ៉ូ​បណ្តាញ​បណ្តាញ​អ័ក្ស​ប្រើប្រាស់​កម្មវិធី​ចាប់ផ្ដើម​ប្រព័ន្ធ​ដែល​បាន​បង្កើត​ឡើង​ក្នុង​គេហដ្ឋាន​ដែល​គេ​ហៅថា​និង​ចាប់ផ្ដើម/netboot។
លក្ខខណ្ឌនៃរបាយការណ៍ទូទៅ

  • “ភាពងាយរងគ្រោះនៅក្នុងកំណែទាំងអស់នៃកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ GRUB2 ត្រូវបានរកឃើញ…”
  • "បញ្ហាមួយត្រូវបានរកឃើញនៅក្នុង Das U-Boot រហូតដល់ 2019.07... "

ការកត់សម្គាល់បណ្តាញ

TCP/ICMP ពេលវេលាamp ការឆ្លើយតប
ផ្ទៃខាងក្រោយ
ខណៈពេលដែល TCP និង ICMP ពេលវេលាច្រើនបំផុតamp ព័ត៌មានត្រូវបានគេប្រើជាញឹកញាប់បំផុតជាឧបករណ៍បណ្តាញដើម្បីវាស់ស្ទង់ដំណើរការ និងលទ្ធភាពនៃម៉ាស៊ីន វាក៏អាចត្រូវបានប្រើដើម្បីស្វែងរកព័ត៌មានដែលទាក់ទងនឹងពេលវេលាអំពីឧបករណ៍បណ្តាញខ្លួនវាផងដែរ។ ICMP ពេលវេលាច្រើនបំផុតamp ព័ត៌មាននៅក្នុង ICMP ប្រភេទ 13 (ពេលវេលាបំផុត។amp សំណើ) និង ICMP ប្រភេទ 14 (ពេលវេលាបំផុត។amp ឆ្លើយតប) ការទំនាក់ទំនងផ្តល់ព័ត៌មានដែលអាចត្រូវបានប្រើដើម្បីគណនាពេលវេលាឧបករណ៍ពិតប្រាកដនៅក្នុង UTC ។ TCP ពេលវេលាបំផុត។amp ព័ត៌មានអាចត្រូវបានប្រើដើម្បីគណនាព័ត៌មានពេលវេលាធ្វើដំណើរទៅមក (RTT) រវាងម៉ាស៊ីនបណ្តាញពីរ ដែលនឹងធ្វើឱ្យវាអាចគណនាពេលវេលាដំណើរការបច្ចុប្បន្នរបស់ឧបករណ៍អ័ក្ស។
ម៉ាស៊ីនស្កេនសុវត្ថិភាពអាចដាក់ទង់អត្ថិភាពនៃ TCP និង ICMP ពេលវេលាបំផុត។amp ការឆ្លើយតបពីឧបករណ៍អ័ក្ស និងណែនាំឱ្យបិទ TCP និង ICMP ដងamp ការឆ្លើយតបនៅពេលណាដែលអាចធ្វើទៅបាន។ អ័ក្សធ្វើតាមការណែនាំរបស់សហគមន៍ប្រភពបើកចំហលីនុច ដែលមិនបានពិចារណាអំពីព័ត៌មានកាលបរិច្ឆេទ/ពេលវេលាជាក់ស្តែងដែលបានផ្តល់ពីការឆ្លើយតបទាំងនេះថាជាហានិភ័យសុវត្ថិភាពដោយខ្លួនវាផ្ទាល់។ ដូច្នេះ TCP/ICMP ពេលវេលាច្រើនបំផុតamp ការឆ្លើយតបនៅតែត្រូវបានបើកតាមលំនាំដើម។ លើសពីនេះ នៅក្នុងកំណែខឺណែលលីនុចថ្មីជាងនេះ ការគណនាជាក់ស្តែងត្រូវបានចាត់ទុកថាមិនគួរឱ្យទុកចិត្តបាន ដោយសារវិធានការប្រឆាំងធានាធ្វើឱ្យវាមិនគួរឱ្យទុកចិត្តក្នុងការគណនាព័ត៌មានកាលបរិច្ឆេទ/ពេលវេលា។ គិតត្រឹមថ្ងៃនេះ (ខែកុម្ភៈ ឆ្នាំ 2022) គ្មានភាពងាយរងគ្រោះ ឬការកេងប្រវ័ញ្ចដែលគេស្គាល់ត្រូវបានបង្ហាញ ដែលនឹងបង្ហាញអំពីភាពត្រឹមត្រូវនៃការបិទសេវាកម្មទាំងនេះនៅក្នុងឧបករណ៍ Axis។
លក្ខខណ្ឌនៃរបាយការណ៍ទូទៅ

  • "TCP ពេលវេលាបំផុត។amp បានរកឃើញការឆ្លើយតប…”
  • " ICMP ពេលវេលាបំផុត។amp បានរកឃើញការឆ្លើយតប…”

HTTP(S), គោលការណ៍ HSTS
ផ្ទៃខាងក្រោយ
ឧបករណ៍អ័ក្សត្រូវបានកំណត់រចនាសម្ព័ន្ធតាមលំនាំដើមដើម្បីអនុញ្ញាតឱ្យមានការតភ្ជាប់ HTTP និង HTTPS ។ វាត្រូវបានផ្ដល់អនុសាសន៍ឱ្យប្រើវិញ្ញាបនបត្រដែលបានចុះហត្ថលេខាដោយខ្លួនឯងដែលបានបង្កើតជាលើកដំបូងដើម្បីដំណើរការការកំណត់ដំបូងនៃឧបករណ៍អ័ក្សនៅក្នុងរបៀប HTTPS និងដើម្បីប្តូរការកំណត់រចនាសម្ព័ន្ធដើម្បីអនុញ្ញាតសម្រាប់ការតភ្ជាប់ HTTPS ប៉ុណ្ណោះ។ HTTPS អាចត្រូវបានអនុវត្តឧទាហរណ៍ពី web ចំណុចប្រទាក់នៃឧបករណ៍អ័ក្សខាងក្រោម ការកំណត់ > ប្រព័ន្ធ > សុវត្ថិភាព។ លើសពីនេះ ការប្រើប្រាស់ HSTS (HTTP Strict Transport Security) ដើម្បីបង្កើនសុវត្ថិភាពឧបករណ៍ត្រូវបានបើកដោយស្វ័យប្រវត្តិតែនៅពេលដែលឧបករណ៍អ័ក្សត្រូវបានដំណើរការនៅក្នុងរបៀប HTTPS ប៉ុណ្ណោះ។ HSTS ត្រូវបានគាំទ្រនៅក្នុង 2018 LTS (8.40), 2020 LTS (9.80) និង AXIS OS 10.1 បទសកម្ម។
ម៉ាស៊ីនស្កេនសុវត្ថិភាពអាចគូសបញ្ជាក់ថាឧបករណ៍អ័ក្សដែលកំពុងត្រូវបានសាកល្បងត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីអនុញ្ញាតតែ HTTP ឬ HTTP & HTTPS ក្នុងពេលតែមួយ។ ការរកឃើញជាធម្មតាត្រូវបានអនុវត្តដោយសុពលភាពនៃការឆ្លើយតបពី និងពិនិត្យមើលស្ថានភាពច្រកនៃច្រក HTTP ស្តង់ដារ 80។ អ័ក្សណែនាំអោយប្រើឧបករណ៍នៅក្នុងរបៀប HTTPS ដោយកំណត់រចនាសម្ព័ន្ធនេះតែប៉ុណ្ណោះ។ សវនកម្មម៉ាស៊ីនស្កេនសុវត្ថិភាពជាច្រើនត្រូវបានអនុវត្តនៅលើឧបករណ៍ Axis ដែលការកំណត់រចនាសម្ព័ន្ធសម្រាប់តែ HTTPS ជាក់លាក់នេះមិនត្រូវបានអនុវត្តដោយអនុញ្ញាតឱ្យឧបករណ៍ Axis ឆ្លើយតបទៅនឹងការភ្ជាប់ HTTP និង/ឬ HTTPS ។
លក្ខខណ្ឌនៃរបាយការណ៍ទូទៅ

  • “រក​ឃើញ​ប៉ុស្តិ៍​មិន​សុវត្ថិភាព HTTP (ច្រក 80)…”
  • “Web វិបផតថលអនុញ្ញាតឱ្យការតភ្ជាប់ HTTP ដែលមិនបានអ៊ិនគ្រីបតាមលំនាំដើម…”
  • "ពីចម្ងាយ web ម៉ាស៊ីនមេមិនអនុវត្ត HSTS ដូចដែលបានកំណត់ដោយ RFC 6797…”
  • “សុវត្ថិភាពស្រទាប់ដឹកជញ្ជូនមិនគ្រប់គ្រាន់…”

ការកត់សម្គាល់ផ្នែករឹង

ភាពងាយរងគ្រោះនៃស្ថាបត្យកម្ម
ផ្ទៃខាងក្រោយ
ភាពងាយរងគ្រោះមួយចំនួនអាចអាស្រ័យលើស្ថាបត្យកម្មខួរក្បាលដែលឧបករណ៍កំពុងប្រើ។ ឧបករណ៍គែមអ័ក្ស ដូចជាកាមេរ៉ា ឧបករណ៍បំលែងកូដ ឧបករណ៍ពាក់ ឧបករណ៍អូឌីយ៉ូ និងផលិតផលអន្តរកម្ម គឺផ្អែកលើស្ថាបត្យកម្ម MIPS និង ARM ហើយឧ. មិនប៉ះពាល់ដោយភាពងាយរងគ្រោះដែលផ្អែកលើស្ថាបត្យកម្ម x64 ឬ x86 ទេ។
លក្ខខណ្ឌនៃរបាយការណ៍ទូទៅ

  • “OpenSSL rsaz_512_sqr កំហុសលើសចំណុះនៅលើ x86_64 (CVE-2019-1551)…”
  • “x64_64 នីតិវិធីការការ៉េ Montgomery…”

UART / កុងសូលសៀរៀល
ផ្ទៃខាងក្រោយ
ការត្រួតពិនិត្យរាងកាយនៃផ្នែករឹងនៃឧបករណ៍អ័ក្សអាចបញ្ជាក់ពីអត្ថិភាពនៃ UART (Universal Asynchronous Receiver Transmitter) ឬកុងសូលសៀរៀល។ អ័ក្ស​សំដៅ​ទៅ​លើ​នេះ​ជា​ច្រក​បំបាត់​កំហុស។ ច្រកបំបាត់កំហុសត្រូវបានប្រើសម្រាប់តែការអភិវឌ្ឍន៍ និងគោលបំណងបំបាត់កំហុសក្នុងអំឡុងពេលគម្រោងវិស្វកម្ម។ ខណៈពេលដែលមិនមានព័ត៌មានរសើបត្រូវបានលាតត្រដាង ខណៈពេលដែលមិនត្រូវបានផ្ទៀងផ្ទាត់ ការចូលប្រើច្រកបំបាត់កំហុសត្រូវបានកម្រិតពាក្យសម្ងាត់ ហើយមានតែអ្នកប្រើប្រាស់ root ប៉ុណ្ណោះដែលអាចចូលបាន។ ចាប់ពី AXIS OS 10.11 ឡើងទៅ កុងសូល UART/serial ត្រូវបានបិទតាមលំនាំដើម ហើយអាចបើកបានលុះត្រាតែដោះសោវាតាមរយៈវិញ្ញាបនបត្រកម្មវិធីបង្កប់ផ្ទាល់ខ្លួនតែមួយគត់របស់ឧបករណ៍។ នេះត្រូវបានផ្តល់ដោយ Axis តែប៉ុណ្ណោះ ហើយមិនអាចបង្កើតតាមវិធីផ្សេងទៀតបានទេ។ លក្ខខណ្ឌនៃរបាយការណ៍ទូទៅ

  • “ការបង្ហាញព័ត៌មានតាមរយៈ UART/Serial Console…”
  • “Root Shell តាមរយៈ UART/Serial Console…”
  • "នៅលើ PCB បឋមកថាបានលាតត្រដាងកុងសូល UART ... "

ការណែនាំអំពីម៉ាស៊ីនស្កេនភាពងាយរងគ្រោះរបស់ AXIS OS © Axis Communications AB, 2022
Ver. M3.2 កាលបរិច្ឆេទ៖ ខែសីហា ឆ្នាំ 2022
ផ្នែកលេខ

ឯកសារ/ធនធាន

AXIS OS Vulnerability Scanner [pdf] ការណែនាំអ្នកប្រើប្រាស់
ប្រព័ន្ធស្កេនភាពងាយរងគ្រោះ ប្រព័ន្ធប្រតិបត្តិការ ម៉ាស៊ីនស្កេនប្រព័ន្ធប្រតិបត្តិការ ម៉ាស៊ីនស្កេនភាពងាយរងគ្រោះ ម៉ាស៊ីនស្កេន

ឯកសារយោង

ប្រកាសដែលពាក់ព័ន្ធ

ទុកមតិយោបល់

អាសយដ្ឋានអ៊ីមែលរបស់អ្នកនឹងមិនត្រូវបានផ្សព្វផ្សាយទេ។ វាលដែលត្រូវការត្រូវបានសម្គាល់ *