در بخش پنجم اين مقاله به بررسي نقاط آسيب پذير (Microsoft Outlook Outlook Express ، Peer to Peer File Sharing (P2P و( Simple Network Management Protocol (SNMP خواهيم پرداخت .
هشتمين نقطه آسيب پذير : Microsoft Outlook ,Outlook Express
برنامه Outlook ( بخشي از مجموعه نرم افزارهاي آفيس )، يک مدير اطلاعات شخصي و سرويس گيرنده پست الکترونيکي ارائه شده توسط مايکروسافت است . برنامه فوق ، علاوه بر ارائه خدمات اوليه مرتبط با يک برنامه پست الکترونيکي ، امکان مديريت تماس ها ، فعاليت ها و زمان را نيز فراهم مي نمايد .در صورت ارتباط Outlook با برنامه Exchange Server ( سرويس دهنده پست الکترونيکي ارائه شده توسط مايکروسافت ) ، توانائي و پتانسيل هاي آن مضاعف مي گردد. حمايت از چندين کاربر ، ارائه تسهيلات لازم در خصوص تنظيم قرار ملاقات ، زمان ، اشتراک تقويم و صندوق پستي ، نمونه هائي از پتانسيل هاي موجود در اين زمينه مي باشند .
Outlook Express) OE) ، نخسه اي رايگان و با قابليت هاي کمتر نسبت به Outlook بوده که همزمان با ارائه IE نسخه يک ، بهمراه آن بر روي سيستم نصب مي گردد( از زمان معرفي ويندوز 95 ، همواره بعنوان يک بخش لاينفک مطرح بوده است ) . با تلفيق محصولاتي نظير IE و OE در ساير نرم افزارهاي توليدي مايکروسافت نظير Backoffice ، آفيس و ساير نسخه هاي سيستم عامل ويندوز ، امکان استفاده از تکنولوژي هاي متداول و کد مربوطه بين پلات فرم، فراهم مي گردد . بعنوان نمونه ، برنامه OutLook 98 مشابه Outlook Express از پارسينگ HTML مربوط به IE و موتور rendering استفاده مي نمايد . بنابراين در صورت نصب Outlook 98 (بدون نسخه چهار و يا بالاتر) ،امکان نصب برنامه IE نيز فراهم خواهد شد . استفاده از رويکرد فوق ، دستاوردهاي مثبتي همچون :استفاده موثرتر از کد را بدنبال خواهد داشت ولي با توجه به استفاده مشترک از عناصر موجود ، در صورت بروز اشکال در يک نقطه ، دامنه آن گريبانگير محصولات متعددي خواهد شد. مثلا" در صورت وجود يک ضعف امنيتي در يک عنصر خاص ، ضعف موجود بسرعت گسترش و زمينه سوء استفاده از آن در يک محدوده وسيعتر در اختيار مهاجمان قرار خواهد گرفت .قطعا" در چنين شرايطي نگهداري يک محيط عملياتي ايمن و مطمئن ، چالش هاي خاص خود را بدنبال خواهد داشت . يکي از اهداف مايکروسافت ، پياده سازي يک راه حل مناسب بمنظور مديريت اطلاعات و نامه هاي الکترونيکي با قابليت استفاده مجدد بوده است. ويژگي هاي اتوماتيک ارائه شده با کنترل هاي امنيتي ايجاد شده در تعارض بوده و اين موضوع مي تواند زمينه بروز تهديدات و خطراتي را از ناحيه ويروس هاي مبتني بر نامه هاي الکترونيکي ، کرم ها و کدهاي مخرب بدنبال داشته باشد .
سيستم هاي عامل در معرض تهديد
OE ، سرويس گيرنده نامه هاي الکترونيکي رايگان ارائه شده بهمراه تمامي نسخه هاي IE و ويندوز است . بمنظور آگاهي از نسخه نرم افزار OE ، پس از اجراي برنامه IE ، با فعال نمودن گزينه About از طريق منوي Help ، مي توان از شماره نسخه نرم افزار فوق بر روي سيستم آگاهي يافت . نسخه هاي پايئن تر از پنج مي بايست بلافاصله به نسخه جديد ارتقاء داده شوند.
OutLook ، يک مدير اطلاعاتي با قابليت هاي فراوان است که هم بعنوان يک برنامه جداگانه و هم بعنوان عضوي از خانواده آفيس ارائه مي گردد . برنامه فوق بصورت اتوماتيک بر روي يک سيستم نصب نخواهد شد و مي بايست در خصوص نصب آن ، تصميم گيري گردد.( نصب پيش فرض جايگاهي ندارد) .
برنامه Outlook داراي نسخه هاي متعددي است :
• Outlook 95
• Outlook 97
• Outlook 2000 ( به آن Outlook 9 نيز گفته مي شود )
• Outlook XP ( که به آن Outlook 10 و يا Outlook 2002 نيز گفته مي شود )
با فعال نمودن گزينه About از طريق منوي Help ، ( پس از اجراي برنامه IE ) مي توان از شماره نسخه برنامه OE نصب شده بر روي سيستم ، آگاهي يافت . نسخه هاي پائين تر از 2000 مي بايست بسرعت patch و بهنگام گردند . در اين رابطه مي توان از منابع اطلاعاتي زير استفاده نمود :
- http://www.microsoft.com/windows/oe/
- http://www.microsoft.com/office/outlook/
نحوه تشخيص آسيب پذير ي سيستم
تمامي کامپيوترهائي که بر روي آنان سيستم هاي عامل ويندوز نصب و يا داراي يک نسخه از IE مي باشند که بهمراه آن برنامه Outlook Express نيز نصب شده است ، در معرض آسيب قرار خواهند داشت . با استفاده از برنامه نصب مجموعه برنامه هاي آفيس ، مي توان اقدام به نصب برنامه Outlook نمود . نسخه هاي ارائه شده OE و Outlook براي مکينتاش نيز داراي مسائل امنيتي خاص خود مي باشند. در صورت عدم بهنگام سازي نسخه نصب شده و يا عدم رعايت تنظيمات امنيتي مربوطه ، سيستم در معرض تهديد قرار خواهد داشت .
نحوه حفاظت در مقابل نقطه آسيب پذير
بمنظور حفاظت در مقابل نقطه آسيب پذير فوق و کاهش تهديدات موجود در اين زمينه مي باسيت عمليات مختلفي را انجام داد:
ايمن سازي Outlook و Outlook Express
نصب و تنظيمات پيش فرض برنامه هاي Outlook و Outlook Express داراي ضعف امنيتي است . در اين رابطه مي بايست بررسي لازم در خصوص تنظيمات امنيتي انجام و از بهنگام بودن نسخه نصب شده مطمئن گرديد. در اينخصوص موارد زير پيشنهاد مي گردد :
• استفاده مستمر از سايت http://windowsupdate.microsoft.com و نصب تمامي Patch هاي ارائه شده خصوصا" Critical ( بحراني )
• غير فعال نمودن پانل نمايش اوليه (Preview ) . با انتخاب گزينه Layout از طريق منوي View زمينه غير فعال نمودن گزينه Show preview pane فراهم مي گردد.
• مستحکمتر نمودن تنظيمات ناحيه امنيتي (Security zone) مرتبط با نامه هاي الکترونيکي . در اين رابطه از طريق منوي Tools گزينه Options انتخاب و پس از کليک نمودن بر روي Security Tab ، گزينه( Restricted sites zone(More secure انتخاب و مقدار موردنطر High در نظر گرفته شود.
آموزش کاربر ان
با توجه به نقش بسيار مهم عوامل انساني در ارتباط با فرآيند ايمن سازي اطلاعات ، مي بايست کاربران در رابطه با استفاده از نامه هاي الکترونيکي بدرستي آموزش و توصيه هاي امنيتي لازم به آنان ارائه گردد. ذکر موارد زير به کاربران ضروري مي باشد :
• در زمان دريافت يک فايل ضميمه ، حتي اگر منبع ارسال کننده آن مطمئن باشد ، مي بايست در ابتدا و قبل از فعال نمودن آن ، بررسي لازم در خصوص ويروس هاي کامپيوتري انجام شود .
• در زمان دريافت يک فايل ضميمه ، لازم است در ابتدا آن را در يک فولدر ( غير از My Documents ) ذخيره نمود . ( آدرس فوق ، توسط تعداد زيادي از ويروس ها بعنوان نقطه شروع يک تهاجم انتخاب مي گردد ) .در اين راستا مي توان فولدر ديگري و يا حتي ماشيني ديگر را انتخاب نمود(تفکيک مناسب فيل هاي ضميمه دريافتي از ساير فايل هاي موجود بر روي کامپيوتر) .
• از فعال نمودن فايل هاي ضميمه همراه يک نامه الکترونيکي خودداري شود. لازم است به اين نکته مهم اشاره گردد که حتي فايل هاي DOC و يا XSL مي توانند شامل کدهاي مخربي باشند که سيستم را در معرض تهديد و آسيب قرار دهد.
• درصورتيکه لازم است فايل دريافتي با استفاده از ساير محصولات مايکروسافت فعال گردد (نظير Word ) ، مي بايست مقدار High براي گزينه Disable macro درنظر گرفته شود.
آنتي ويروس
نرم افزارهاي آنتي ويروس ، امکانات مناسبي را در خصوص حفاظت کامپيوترها در مقابل اکثر کرم ها ، ويروس ها و ساير کدهاي مخرب ، ارائه مي نمايند . بانک هاي اطلاعاتي آنتي ويروس ها حداقل بصورت هفتگي بهنگام مي گردند. بمنظور اطمينان از حفاظت در مقابل جديدترين تهديدات، اکثر برنامه هاي پيشرفته آنتي ويروس ، عمليات بهنگام سازي را بصورت اتوماتيک انجام مي دهند. برنامه هاي جديد و پيشرفته آنتي ويروس داراي قابليت بررسي و پويش تمامي نامه هاي وارده وصادره بمنظور اطمينان از بلاک نمودن فايل هاي شامل کد مخرب و يا اسکريپت ، قبل از تهديد سيستم ها توسط آنان مي باشند. پيشنهاد مي گردد ،ابزارهاي حفاظتي آنتي ويروس قبل از استفاده از نامه هاي الکترونيکي و يا اينترنت ، بهنگام گردند. تعداد زيادي از ويروس ها وکرم ها از طريق سرويس گيرندگان نامه هاي الکترونيکي بصورت فايل هاي ضميمه و يا کد اسکريپت مخرب، در زمان مشاهده Preview ،گسترش مي يابند .بمنظور دستيابي به مرجع برنامه هاي آنتي ويروس در سايت مايکروسافت ، مي توان از آدرس http://www.microsoft.com/security/protect/antivirus.asp استفاده نمود.
بهنگام سازي Outlook و Outlook Express .
برنامه Outlook Express طي ساليان اخير بدفعات ارتقاء يافته است ( با هدف افزايش قابليت ها و ايمني بالاتر ) . بمنظور دريافت آخرين نسخه برنامه فوق، مي توان از آدرس http://www.microsoft.com/windows/oe ، استفاده نمود. بمنظور اطمينان ازبهنگام بودن Outlook و ساير برنامه هاي آفيس مي توان از آدرس Office Product Updates page استفاده نمود . سايت فوق بصورت اتوماتيک موارد بحراني را تشخيص و بهنگام سازي لازم وضروري را پيشنهاد مي نمايد . بمنظور آگاهي از جزئيات مربوط به ساير موارد ايمني و تنطيمات مرتبط به نسخه آفيس XP ، مي توان از آدرس Office XP Security white paper استفاده نمود . لازم است به اين نکته مهم اشاره گردد که در صورتيکه سيستم شما بخشي از يک شبکه مي باشد ، مي بايست قبل از اعمال هر گونه تغييرات بر روي سيستم ، موضوع به اطلاع مديريت سيستم رسانده شود. مديران سيستم مي توانند بمنظور آشنائي با جزئيات مربوط به بهنگام سازي امنيتي نامه هاي الکترونيکي در Outlook ، از Office Resource Kit استفاده نمايند .
Uninstall نمودن Outlook و Outlook Express
در صورتيکه از يک برنامه خاص ديگر بمنظور نامه هاي الکترونيکي و يا سرويس گيرنده مديريت اطلاعات استفاده مي گردد ، مي توان اقدام به Uninstall نمودن برنامه هاي Outlook و Outlook Express از روي سيستم نمود:
• در صورت نصب Outlook بر روي تمامي نسخه هاي ويندوز مي توان با استفاده از گزينه Add/Remove Program اقدام به Uninstall نمودن برنامه نمود.
• در صورت نصب Outlook Express بر روي ويندوز 98 و يا ME ، مي توان با انتخاب آيکون Add/Remove Program و گزينه Windows Setup و انتخاب Outlook Express امکان حذف آن رافراهم نمود .
• در صورت نصب Outlook Express بر روي ويندوز 2000 و يا XP ، مي توان با توجه به پيچيدگي عمليات مربوطه از آدرس هاي زير استفاده نمود :
- کاربران ويندوز 2000 که از نسخه Outlook Express Version 5.x/6.0 استفاده مي نمايند ، مي توانند از آدرس http://support.microsoft.com/default.aspx?scid=kb;EN-US;q263837 استفاده نمايند .
- کاربران ويندوز 98 و يا ME که از نسخه Outlook Expree Version 5.x/6.0 استفاده مي نمايند ، مي توانند از آدرس http://support.microsoft.com/default.aspx?scid=kb;EN-US;q256219 استفاده نمايند .
نهمين نقطه آسيب پذير : (Windows Peer to Peer File Sharing (P2P
نقطه آسيب پذير فوق ، با ساير موارد اشاره شده متفاوت بوده و اين امکان را فراهم مي نمايد که برنامه هاي نظير به نظير ، بمنزله برنامه هاي User mode در نظر گرفته شوند .اين نوع از برنامه ها در ساليان اخير بسرعت رشد و مورد استفاده قرار مي گيرند. از برنامه هاي فوق ، بمنظور Download و توزيع انواع متفاوتي از داده ( موزيک ، ويدئو ، گرافيک ، متن ، Source code برنامه ) استفاده مي گردد . داده هاي مبادله شده از طريق برنامه هاي فوق اغلب مشکوک و دراکثر موارد قوانين کپي رايت بين المللي را نقص مي نمايند. بر اساس گزارشات ارائه شده توسط Napster ، برنامه هاي فوق اغلب بصورت يک برنامه سرويس گيرنده توزيع و زمينه اشتراک فايل ها ، دايرکتوري ها و حتي تمامي فضاي ذخيره سازي هارد ديسک را فراهم مي نمايد . کاربران با استفاده از برنامه هاي سرويس گيرنده ، پارامتر مورد نظر خود براي جستجو را مشخص و در ادامه يک و يا چندين کانال ارتباطي بين شرکت کنندگان بعنوان نرم افزار سرويس گيرنده و ارتباط با ساير شرکت کنندگان در شبکه هاي ديگر بمنظور مکان يابي فايل هاي مورد نظر ايجاد مي گردد. سرويس گيرندگان قادر به دريافت فايل از ساير کاربران بوده و مي توانند داده هاي موجود بر روي سيستم خود را براي استفاده ديگران به اشتراک گذارند.
فرآيند ارتباطات نظير به نظير شامل دريافت درخواست ها ، پاسخ به آنان و ارسال فايل ها مي باشد . يک سرويس گيرنده (شرکت کننده) مي تواند بطور همزمان چندين download را انجام و در همان زمان اقدام به انجام چندين upload نمايد . جستجو براي يافتن محتوي مي تواند شامل هر نوع رشته حرفي مورد نظر کاربر باشد . اکثر برنامه هاي فوق در حال حاضر از پورت هاي پيش فرض استفاده مي نمايند ولي مي توان بصورت اتوماتيک و يا دستي آن را بمنظور استفاده از پورت ديگر تنظيم نمود . سمت و سوي اين تکنولوژي بسمت استفاده از http wrappers بوده که با ارائه تسهيلات لازم محدوديت هاي اعمال شده در سطح يک سازمان بمنظور استفاده از اينترنت را ناديده خواهد گرفت . با توجه به ماهيت multithread برنامه هاي فوق در ارتباط با جستجو و انتقال فايل ها ، ترافيک شبکه هاي LAN افزايش و حتي در موارد خاص امکان اشباع کامل لينک هاي WAN نيز وجود خواهد داشت . در زمان استفاده از برنامه هاي P2P ، سيتستم ها در معرض آسيب و تهديد جدي قرار خواهند گرفت . تهديدات فوق ، مي تواند باعث حملاتي از نوع DoS ، دستيابي غير مجاز به تمامي شبکه ( بدليل ضعف در پيکربندي سرويس گيرنده P2P ) و بمخاطره انداختن اطلاعات محرمانه ( هيچگونه محدوديتي دررابطه با نوع فايلي که به اشتراک گذاشته مي شود ، وجود ندارد ) گردد .در اين رابطه مسائل قانوني ( کپي رايت ) مربوطه نيز وجود داشته که بطور جدي توسط شرکت هاي ارائه دهنده محصولات ( صوتي ، تصويري ، نرم افزارهاي کاربردي و ... ) دنبال مي گردد .محتوي ارائه شده از طريق برنامه هاي P2P شامل قانوني کپي رايت بوده ( موزيک ، فيلم و برنامه ) و استفاده کنندگان از اين نوع برنامه ها مي بايست به اين موضوع مهم نيز توجه نمايند !
سيستم هاي عامل در معرض تهديد
از برنامه هاي P2P ، مي توان در ارتباط با تمامي نسخه هاي موجود سيستم عامل ويندوز استفاده نمود( نسخه هاي متعددي بمنظور نصب بر روي ويندوز نوشته شده است ) . البته در اين رابطه نسخه هاي مربوط به سيستم هاي عامل يونيکس و لينوکس نيز وجود داشته و آنان نيز در معرض اين تهديد مي باشند .
نحوه تشخيص آسيب پذير ي سيستم
تشخيص استفاده از برنامه هاي P2P بر روي شبکه ، چالش هاي خاص خود را بدنبال خواهد داشت .دراين رابطه موارد زير پيشنهاد مي گردد :
• مانيتورينگ ترافيک شبکه بر روي پورت هاي متداول استفاده شده توسط اين نوع از برنامه ها
• جستجو ترافيک شبکه براي application layer strings که عموما" توسط برنامه هاي P2P استفاده مي گردد.
• بررسي مکان هاي ذخيره سازي شبکه بمنظور کنترل محتوي download شده توسط کاربر (فايل هاي mp3, *.wma, *.avi, *.mpg, *.mpeg, *.jpg, *.gif, *.zip.* و exe. * )
• مانيتورينگ فضاء ذخيره سازي شبکه براي کاهش ناگهاني ظرفيت آزاد ديسک
نحوه حفاظت در مقابل نقطه آسيب پذير
بمنظور حفاظت در مقابل نقطه آسيب پذير فوق ، مي بايست عمليات متفاوتي را انجام داد :
سياست شرکت / سازمان
• استفاده از يک سياست معقول در ارتباط با downloading و قانون کپي رايت در هر سازمان
• استفاده از يک سياست معقول در ارتباط با نحوه استفاده از اينترنت در هر سازمان
• بررسي مستمر فضاي ذخيره سازي شبکه و ايستگاههاي شبکه براي محتوي غير مجاز
محدوديت شبکه
• کاربران معمولي نمي بايست قادر به نصب نرم افزار خصوصا" نرم افزارهاي P2P باشند .
• استفاده از يک سرويس دهنده پروکسي بمنظور کنترل دستيابي به اينترنت
• فيلتريتگ ( خروجي / ورودي ) پورت ها ي استفاده شده توسط برنامه هاي P2P
• مانيتورينگ شبکه خصوصا" در ارتباط با ترافيک P2P
• استفاده روزانه از نرم افزارهاي آنتي ويروس بهنگام شده
پورت هاي متدوال استفاده شده توسط برنامه هاي P2P :
• برنامه Napsster ( پورت هاي TCP شماره : 8888 ، 8875 ، 6699 )
• برنامه eDonkey ( پورت هاي TCP شماره 4661 ، 4662 ، 4665 )
• برنامه Gnutella ( پورت هاي TCP/UDP شماره 6345 ، 6346 ، 6347 )
• برنامه Kazza ( پورت TCP شماره هشتاد براي www ، و پورت TCP/UDP شماره 1214 )
دهمين نقطه آسيب پذير : ( Simple Network Management Protocol (SNMP
از پروتکل SNMP بمنظور کنترل ، مانيتورينگ از راه دور و پيکربندي تمامي دستگاه هاي پيشرفته مبتني بر TCP/IP استفاده مي شود.با اينکه استفاده از SNMP در بين پلات فرم هاي متفاوت شبکه استفاده مي گردد، ولي در اغلب موارد از آن بمنظور پيکربندي و مديريت دستگاههائي نظير چاپگر ، روترها ، سوئيچ ها ، Access point ها و دريافت داده هاي مورد نياز دستگاههاي مانيتورينگ شبکه ، استفاده مي شود .
SNMP ، از روش هاي متفاوتي بمنظور مبادله پيام بين ايستگاههاي مديريت SNMP و دستگاههاي شبکه اي استفاده مي نمايد . روش هاي استفاده شده بمنظور برخورد با پيام هاي مبادله شده و مکانيزم تائيد و معتبر سازي پيا م ها، از جمله عوامل اصلي در رابطه با نقاط آسيب پذير SNMP مي باشند .
نقاط آسيب پذير مرتبط با روش هاي استفاده شده در SNMP ( نسخه يک ) بهمراه جزئيات مربوطه را مي توان در آدرس CERT - 2002 - 03 ، مشاهده نمود . نقاط آسيب پذير متعددي در SNMP متاثر از روش برخورد با پيام ها توسط ايستگاه هاي مديريتي است . نقاط آسيب پذير فوق، به نسخه اي خاص از SNMP محدود نبوده و محصولات متعدد ارائه شده توسط توليد کنندگان را نيز شامل مي گردد . مهاجمان با استفاده از نقاط آسيب پذير فوق ، قادر به انجام حملات متفاوت از نوع DoS ( از کار افتادن يک سرويس ) تا پيکربندي و مديريت ناخواسته ماشين آلات و تجهيزات مبتني بر SNMP ، مي باشند .
برخي از نقاط آسيب پذير در ارتباط با SNMP متاثر از روش هاي استفاده شده بمنظور تائيد و معتبر سازي پيام ها در نسخه هاي قديمي SNMP است ( توارث مشکلات ) . نسخه هاي يک و دو SNMP ، از يک " رشته مشترک " غيررمز شده بعنوان تنها گزينه موجود براي تائيد پيام ها استفاده مي نمايند . عدم استفاده از روش هاي مناسب رمزنگاري ، مي تواند عاملي مهم در پيدايش نقاط آسيب پذير باشد. نگرش پيش فرض نسبت به " رشته مشترک " که توسط تعداد زيادي از دستگاههاي SNMP استفاده مي گردد ، از ذيگر عوامل مهم در ارتباط با عرضه نقاط آسيب پذير است( برخي از توليد کنندگان بمنظور افزايش سطح ايمني مربوط به داده هاي حساس ، رشته را بصورت "اختصاصي " تغيير و استفاده مي نمايند ) . شنود اطلاعاتي و ترافيک SNMP ، مي تواند افشاء اطلاعات و ساختار شبکه ( سيستم ها و دستگاههاي متصل شده به آن ) را بدنبال داشته باشد . مهاجمين با استفاده از اطلاعات فوق ، قادر به انتخاب مناسب و دقيق هدف خود بمنظور برنامه ريزي حملات خود مي باشند .
اکثر توليد کنندگان بصورت پيش فرض نسخه يک SNMP را فعال و تعدادي ديگر، محصولاتي را ارائه مي نمايند که قادر به استفاده ازمدل هاي امنيتي نسخه شماره سه SNMP نمي باشند. ( با استفاده از مدل هاي امنيـي ارائه شده در نسخه شماره سه SNMP ، مي توان پيکربندي لازم در خصوص روش هاي تائيد را بهبود بخشيد ) .
SNMP ، بصورت پيش فرض در ويندوز فعال نمي گردد .و اغلب بعنوان يک سرويس تکميلي توسط مدير يت سيستم و يا شبکه ، نصب مي گردد . ساير محصولات مديريت شبکه ممکن است مستلزم Windows Service و يا نصب مربوط به خود باشند . SNMP يک روش ارتباطي استفاده شده بمنظور مديريت چاپگرها ، سيستم هاي UPS ، دستگاه هاي access point و Bridges است . از SNMP اغلب در نسخه هاي متفاوت يونيکس و لينوکس نسخه هاي متفاوت سيستم عامل نت ور ، تجهيزات شبکه اي و دستگاههاي embedded استفاده مي شود. با توجه به نتايج حاصل از آناليز حملات مبتني بر SNMP ، مشخص شده است که اکثر حملات در اين رابطه بدليل ضعف در پيکربندي SNMP در سيستم هاي يونيکس است .
سيستم هاي عامل در معرض تهديد
تقريبا" تمامي نسخه هاي سيستم عامل ويندوز بهمراه يک گزينه نصب انتخابي در اينخصوص ارائه شده اند . سرويس فوق بصورت پيش فرض نصب و فعال نمي باشد. اکثر دستگاه ها و سيستم هاي عامل شبکه اي مبتني بر SNMP داراي نقطه آسيب پذير فوق بوده و در معرض تهديد قرار خواهند داشت .
نحوه تشخيص آسيب پذيري سيستم
بمنظور بررسي نصب SNMP بر روي دستگاههاي موجود و متصل شده در شبکه ، مي توان از يک برنامه کمکي و يا روش دستي استفاده نمود. برنامه پويشگر SNScan ، نمونه اي در اين زمينه بوده که مي توان آن را از طريق آدرس http://www.foundstone.com/knowledge/free_tools.html دريافت نمود. در موارديکه امکان استفاده از ابزارهاي پويشگر وجود ندارد ، مي توان بررسي لازم در خصوص نصب و اجراء SNMP را بصورت دستي انجام داد. در اين راستا مي توان به مستندات سيستم عامل مربوطه مراجعه تا پس از آگاهي از نحوه پياده سازي SNMP ، عمليات لازم بمنظور تشخيص فعال بودن SNMP را انجام داد
در اين رابطه مي توان با بررسي اجراء سرويس در Services applet ، در ليست پردازه ها نسبت به اين موضوع آگاه و يا با دستور " net stat " در خط دستور و يا با مشاهده و جستجوي سرويس هاي اجرائي بر روي پورت هاي 161 و 162 با استفاده از دستور "netstat -an" اين عمليات را انجام داد . در صورت تحقق يکي از شرايط زير و نصب SNMP ، سيستم در معرض آسيب و تهديد قرار خواهد داشت :
• وجود اسامي SNMP Community پيش فرض و يا خالي ( اسامي استفاده شده بعنوان رمزهاي عبور )
• وجود اسامي SNMP Community قابل حدس
• وجود رشته هاي مخفي SNMP Community
نحوه حفاظت در مقابل نقطه آسيب پذير
بمنظور حفاظت در مقابل نقطه آسيب پذير فوق ،در دو زمينه مي توان اقدامات حفاظتي را سازماندهي نمود .
حفاظت در مقابل درخواست هاي آسيب رسان و تهديد کننده :
• غير فعال نمودن SNMP در صورت عدم ضرورت استفاده از آن
• استفاده از يک مدل امنيتي مبتني بر کاربر SNMPv3 ، بمنظور تائيد پيام ها و رمزنگاري داده ها ( در صورت امکان )
• در صورت استفاده از SNMP نسخه يک و يا دو ، مي بايست آخرين نسخه Patch ارائه شده توسط توليد کننده ، نصب گردد براي آگاهي از مشخصات توليدکننگان، مي توان به بخش ضميمه CERT Advisory CA-2002-03 ، مراجعه نمود .
• SNMP را در گلوگاه هاي ورودي شبکه فيلتر نمائيد ( پورت 161 مربوط به TCP/UDP و پورت 162 مربوطه به TCP/UDP ) . عمليات فوق را در موارديکه ضرورتي به مديريت دستگاهها بصورت خارجي وجود ندارد ، مي بايست انجام داد .
• از کنترل دستيابي مبتني بر ميزبان بر روي سيستم هاي SNMP agent استفاده گردد . ويژگي فوق ممکن است توسط SNMP agent سيستم هاي عامل داراي محدوديت هائي باشد ، ولي مي توان کنترل لازم در خصوص پذيرش درخواست ها توسط agent مربوطه را انجام داد. در اکثر نسخه هاي ويندوز 2000 و به بعد از آن ، مي توان عمليات فوق را توسط يک فيلتر IPSEC انجام داد . استفاده از يک فايروال فيلترينگ بسته هاي اطلاعاتي مبتني بر agent بر روي يک ميزبان نيز مي تواند در بلاک نمودن درخواست هاي ناخواسته SNMP موثر واقع شود .
حفاظت در مقابل رشته هاي قابل حدس
• غير فعال نمودن SNMP در صورت عدم ضرورت استفاده از آن
• استفاده از يک مدل امنيتي مبتني بر کاربر SNMPv3 ، بمنظور تائيد پيام ها و رمزنگاري داده ها ( در صورت امکان )
• در صورت استفاده از SNMP نسخه يک و يا دو ، مي بايست از يک سياست خاص بمنظور اسامي community ( استفاده شده بعنوان رمزهاي عبور ) استفاده گردد. در اين راستا لازم است اسامي بگونه اي انتخاب گردند که غير قابل حدس بوده و بصورت ادواري و در محدوده هاي خاص زماني نيز تغيير داده شوند .
• با استفاده از امکانات موجود مي بايست بررسي لازم در خصوص استحکام اسامي در نظر گرفته شده براي رمزهاي عبور راانجام داد.در اين رابطه مي توان از خودآموز و ابزار ارائه شده در آدرس http://www.sans.org/resources/idfaq/snmp.php ، استفاده کرد.
• SNMP را در گلوگاه هاي ورودي شبکه فيلتر نمائيد ( پورت 161 مربوط به TCP/UDP و پورت 162 مربوطه به TCP/UDP ) . عمليات فوق را در موارديکه ضرورتي به مديريت دستگاهها بصورت خارجي وجود ندارد ، مي بايست انجام داد . پيکربندي فيلترينگ را صرفا" بمنظور ترافيک مجاز SNMP بين subnet هاي مميزي شده ، انجام دهيد.