بررسی مهمترين نقاط آسيب پذير ويندوز New Page 1



ساير




 

 

 

SAKHA RAVESH CO.

 ا مروز

 سه شنبه  9  خرداد  1396  2017  May  30   Tuesday ToDay
صفحه اصلی  مقالات نکته هادايره المعارف خودآموزها | تازه ها خود آزمون ها    
  نسخه قابل چاپ  

    5 4 3 2 1 

 عنوان

 نويسنده

  مشاهده

 تعداد آراء

 امتياز

 مهمترين نقاط آسيب پذير ويندوز ( بخش پنجم )

 مديريت شبکه

14672

372

3.1

با توجه به جایگاه داده در عصر حاضر و  لزوم نگاه جامع به این مقوله مهم ، بر آن شدیم تا محوریت فعالیت های خود را بر  روی این موضوع متمرکز نمائیم . از این رو گروه فابک با شعار فناوری اطلاعات برای کسب وکار شکل گرفت و  خدمات خود  را از طریق  سایت www.fabak.ir  به مخاطبان محترم عرضه می نماید

 

مهمترين نقاط آسيب پذير ويندوز

مهمترين نقاط آسيب پذير ويندوز ( بخش پنجم ) 

در بخش پنجم  اين مقاله به بررسی نقاط آسيب پذير      (Microsoft Outlook Outlook Express   ،  Peer to Peer File Sharing (P2P   و( Simple Network Management Protocol (SNMP  خواهيم پرداخت . 

هشتمين  نقطه آسيب پذير :    Microsoft Outlook ,Outlook Express
برنامه Outlook ( بخشی از مجموعه نرم افزارهای آفيس )، يک مدير اطلاعات شخصی و  سرويس گيرنده پست الکترونيکی ارائه شده توسط مايکروسافت است . برنامه فوق ، علاوه بر ارائه خدمات اوليه مرتبط با يک برنامه پست الکترونيکی ، امکان مديريت تماس ها ، فعاليت ها و زمان را نيز فراهم می نمايد .در صورت ارتباط Outlook با  برنامه Exchange Server ( سرويس دهنده پست الکترونيکی ارائه شده توسط مايکروسافت ) ، توانائی و پتانسيل های آن مضاعف می گردد. حمايت از چندين کاربر ، ارائه تسهيلات لازم در خصوص تنظيم قرار ملاقات ، زمان ، اشتراک تقويم و صندوق پستی ، نمونه هائی از پتانسيل های موجود در اين زمينه می باشند .
Outlook Express) OE) ، نخسه ای رايگان و با قابليت های کمتر نسبت به Outlook بوده که همزمان با ارائه IE نسخه يک ، بهمراه آن بر روی  سيستم  نصب می گردد( از زمان معرفی ويندوز 95 ، همواره بعنوان يک بخش لاينفک مطرح بوده است ) . با  تلفيق  محصولاتی نظير IE و OE  در ساير نرم افزارهای توليدی مايکروسافت نظير Backoffice ، آفيس  و  ساير نسخه های سيستم عامل ويندوز ، امکان استفاده از تکنولوژی های متداول و کد مربوطه بين پلات فرم،  فراهم می گردد . بعنوان نمونه ، برنامه OutLook 98  مشابه Outlook Express از  پارسينگ HTML مربوط به IE و موتور rendering استفاده می نمايد . بنابراين در صورت نصب  Outlook 98 (بدون نسخه چهار و يا بالاتر) ،امکان نصب برنامه IE نيز فراهم خواهد شد . استفاده از رويکرد فوق ، دستاوردهای مثبتی همچون :استفاده موثرتر از کد را بدنبال خواهد داشت ولی با توجه به استفاده مشترک از عناصر موجود ، در صورت بروز اشکال در يک نقطه ، دامنه آن گريبانگير محصولات متعددی خواهد شد. مثلا" در صورت وجود يک ضعف امنيتی در يک عنصر خاص ، ضعف موجود بسرعت گسترش و زمينه سوء استفاده از آن در يک محدوده وسيعتر در اختيار مهاجمان قرار خواهد گرفت .قطعا" در چنين شرايطی نگهداری يک محيط عملياتی ايمن و مطمئن ، چالش های خاص خود را بدنبال خواهد داشت . يکی از اهداف مايکروسافت  ، پياده سازی يک راه حل مناسب بمنظور مديريت اطلاعات و نامه های الکترونيکی  با قابليت استفاده مجدد بوده است. ويژگی های اتوماتيک ارائه شده با کنترل های امنيتی ايجاد شده در تعارض بوده و اين موضوع می تواند زمينه بروز تهديدات و خطراتی را از ناحيه  ويروس های مبتنی بر نامه های الکترونيکی ، کرم ها  و کدهای مخرب بدنبال داشته باشد .

سيستم های عامل در معرض تهديد
OE ، سرويس گيرنده نامه های الکترونيکی رايگان ارائه شده بهمراه تمامی نسخه های IE و ويندوز  است . بمنظور آگاهی از نسخه نرم افزار OE ، پس از اجرای برنامه IE ، با فعال نمودن گزينه About از طريق منوی Help ، می توان از شماره نسخه نرم افزار فوق بر روی سيستم آگاهی يافت . نسخه های پايئن تر از پنج می بايست بلافاصله به نسخه جديد ارتقاء داده شوند.
OutLook ، يک مدير اطلاعاتی با قابليت های فراوان است که هم  بعنوان يک برنامه جداگانه و هم بعنوان عضوی از خانواده آفيس ارائه می گردد . برنامه فوق بصورت اتوماتيک بر روی يک سيستم نصب نخواهد شد و می بايست در خصوص نصب آن ، تصميم گيری گردد.( نصب پيش فرض جايگاهی ندارد) .
برنامه Outlook دارای نسخه های متعددی است : 

  •  Outlook 95
  • Outlook 97
  • Outlook 2000 ( به آن  Outlook 9 نيز گفته می شود )
  • Outlook XP ( که به آن Outlook 10 و يا Outlook 2002  نيز گفته می شود )

با فعال نمودن گزينه About از طريق منوی Help ، ( پس از اجرای برنامه IE  ) می توان از شماره نسخه برنامه OE نصب شده بر روی سيستم ، آگاهی يافت . نسخه های پائين تر از 2000 می بايست بسرعت patch و بهنگام گردند . در اين رابطه می توان از منابع اطلاعاتی زير استفاده  نمود :

- http://www.microsoft.com/windows/oe/
- http://www.microsoft.com/office/outlook/ 

نحوه تشخيص آسيب پذير ی سيستم
تمامی کامپيوترهائی که بر روی آنان سيستم های عامل ويندوز نصب و يا دارای يک نسخه از IE می باشند که بهمراه آن برنامه Outlook Express نيز نصب شده است ، در معرض آسيب قرار خواهند داشت . با استفاده از برنامه نصب مجموعه برنامه های آفيس ، می توان اقدام به نصب برنامه Outlook نمود . نسخه های ارائه شده OE و Outlook برای مکينتاش نيز دارای مسائل امنيتی خاص خود می باشند.  در صورت عدم بهنگام سازی نسخه نصب شده و يا عدم رعايت تنظيمات امنيتی مربوطه ، سيستم در معرض تهديد قرار خواهد داشت .

نحوه حفاظت در مقابل نقطه آسيب پذير
بمنظور حفاظت در مقابل نقطه آسيب پذير فوق  و کاهش تهديدات موجود در اين زمينه می باسيت عمليات مختلفی را انجام داد: 
ايمن سازی Outlook و Outlook Express
نصب و تنظيمات پيش فرض برنامه های Outlook و Outlook Express دارای ضعف امنيتی است . در اين رابطه می بايست بررسی لازم در خصوص تنظيمات امنيتی  انجام و از بهنگام بودن نسخه نصب شده مطمئن گرديد. در اينخصوص موارد زير پيشنهاد می گردد :

  • استفاده مستمر از سايت  http://windowsupdate.microsoft.com   و نصب تمامی Patch های ارائه شده خصوصا" Critical ( بحرانی )
  • غير فعال نمودن پانل نمايش اوليه (Preview ) . با انتخاب گزينه Layout از طريق منوی  View زمينه غير فعال نمودن گزينه  Show preview pane  فراهم می گردد.
  •  مستحکمتر نمودن تنظيمات ناحيه امنيتی (Security zone) مرتبط با نامه های الکترونيکی  . در اين  رابطه از طريق منوی Tools گزينه Options انتخاب و پس از کليک نمودن  بر روی Security Tab ،  گزينه( Restricted sites zone(More secure انتخاب و مقدار موردنطر High در نظر گرفته شود.

آموزش کاربر ان
با توجه به نقش بسيار مهم عوامل انسانی در ارتباط با فرآيند ايمن سازی اطلاعات ، می بايست کاربران در رابطه با استفاده از نامه های الکترونيکی بدرستی آموزش و توصيه های امنيتی لازم به آنان ارائه گردد. ذکر موارد زير به کاربران ضروری می باشد :

  • در زمان دريافت يک فايل ضميمه ، حتی اگر منبع ارسال کننده آن مطمئن باشد ، می بايست در ابتدا و قبل از فعال نمودن آن ، بررسی لازم در خصوص ويروس های کامپيوتری انجام شود .
  • در زمان دريافت يک فايل ضميمه ، لازم است در ابتدا آن را در يک فولدر ( غير از My Documents ) ذخيره نمود . ( آدرس فوق ، توسط تعداد زيادی از ويروس ها بعنوان نقطه شروع يک تهاجم انتخاب می گردد ) .در اين راستا می توان  فولدر ديگری و يا حتی ماشينی ديگر را انتخاب نمود(تفکيک مناسب فيل های ضميمه دريافتی از ساير فايل های موجود بر روی کامپيوتر) .
  • از فعال نمودن فايل های ضميمه همراه يک نامه الکترونيکی  خودداری شود. لازم است به اين نکته مهم اشاره گردد که حتی  فايل های DOC و يا XSL می توانند شامل کدهای مخربی باشند که سيستم را در معرض تهديد و آسيب قرار دهد.
  • درصورتيکه لازم است فايل دريافتی با استفاده از ساير محصولات مايکروسافت فعال گردد (نظير Word ) ، می بايست مقدار High برای گزينه Disable macro  درنظر گرفته شود.

آنتی ويروس
نرم افزارهای آنتی ويروس ، امکانات مناسبی را در خصوص حفاظت کامپيوترها در مقابل اکثر کرم ها ، ويروس ها و  ساير کدهای مخرب ، ارائه می نمايند . بانک های اطلاعاتی آنتی ويروس ها حداقل بصورت هفتگی بهنگام می گردند. بمنظور اطمينان از حفاظت در مقابل جديدترين تهديدات، اکثر برنامه های پيشرفته آنتی ويروس ، عمليات بهنگام سازی را بصورت اتوماتيک انجام می دهند.  برنامه های جديد و پيشرفته آنتی ويروس دارای قابليت بررسی و پويش تمامی نامه های وارده وصادره بمنظور اطمينان از بلاک نمودن فايل های شامل کد مخرب و يا اسکريپت ، قبل از تهديد سيستم ها توسط آنان می باشند. پيشنهاد می گردد ،ابزارهای حفاظتی آنتی ويروس قبل از استفاده از نامه های الکترونيکی و يا اينترنت ، بهنگام گردند. تعداد زيادی از ويروس ها وکرم ها  از طريق سرويس گيرندگان نامه های الکترونيکی بصورت فايل های ضميمه  و يا کد اسکريپت مخرب، در زمان مشاهده Preview ،گسترش می يابند .بمنظور دستيابی به مرجع برنامه های آنتی ويروس در سايت مايکروسافت ، می توان از آدرس  http://www.microsoft.com/security/protect/antivirus.asp   استفاده نمود.

بهنگام سازی Outlook و Outlook Express .
برنامه Outlook Express طی ساليان اخير بدفعات ارتقاء يافته است ( با هدف افزايش قابليت ها و ايمنی بالاتر ) . بمنظور دريافت آخرين نسخه  برنامه فوق، می توان از آدرس  http://www.microsoft.com/windows/oe ، استفاده نمود. بمنظور اطمينان ازبهنگام بودن Outlook و ساير برنامه های آفيس می توان از آدرس  Office Product Updates page استفاده نمود . سايت فوق بصورت اتوماتيک موارد بحرانی را تشخيص و بهنگام سازی لازم وضروری را پيشنهاد می نمايد .  بمنظور آگاهی از جزئيات مربوط به ساير موارد ايمنی و تنطيمات مرتبط به نسخه آفيس XP ، می توان از آدرس   Office XP Security white paper استفاده نمود . لازم است به اين نکته مهم اشاره گردد که در صورتيکه سيستم شما بخشی از يک شبکه می باشد ، می بايست قبل از اعمال هر گونه تغييرات بر روی سيستم ، موضوع به اطلاع مديريت سيستم رسانده شود. مديران سيستم می توانند بمنظور آشنائی با جزئيات مربوط به بهنگام سازی امنيتی نامه های الکترونيکی در Outlook ، از Office Resource Kit  استفاده نمايند .

Uninstall نمودن Outlook و Outlook Express 
در صورتيکه از يک برنامه خاص ديگر بمنظور نامه های الکترونيکی و يا سرويس گيرنده مديريت اطلاعات استفاده می گردد ، می توان اقدام به Uninstall نمودن برنامه های Outlook و Outlook Express از روی سيستم نمود:

  •  در صورت نصب Outlook  بر روی تمامی نسخه های ويندوز می توان با استفاده از گزينه Add/Remove Program  اقدام به Uninstall نمودن برنامه نمود.
  • در صورت نصب Outlook Express بر روی ويندوز 98 و يا ME ، می توان با انتخاب آيکون Add/Remove Program  و گزينه Windows Setup و انتخاب Outlook Express امکان حذف آن رافراهم نمود .
  •  در صورت نصب Outlook Express بر روی ويندوز 2000 و يا XP  ، می توان با توجه به پيچيدگی عمليات مربوطه از آدرس های زير استفاده نمود : 
    - کاربران ويندوز 2000 که از نسخه Outlook Express Version 5.x/6.0 استفاده می نمايند ، می توانند از آدرس  http://support.microsoft.com/default.aspx?scid=kb;EN-US;q263837  استفاده نمايند .
    - کاربران ويندوز 98 و يا ME که از نسخه Outlook Expree Version 5.x/6.0 استفاده می نمايند ، می توانند از آدرس http://support.microsoft.com/default.aspx?scid=kb;EN-US;q256219   استفاده نمايند .

نهمين  نقطه آسيب پذير :  (Windows Peer to Peer File Sharing (P2P
نقطه آسيب پذير فوق ، با ساير موارد اشاره شده متفاوت بوده و اين امکان را فراهم می نمايد که برنامه های نظير به نظير ، بمنزله برنامه های User mode در نظر گرفته شوند .اين نوع از برنامه ها در ساليان اخير بسرعت رشد و مورد استفاده قرار می گيرند. از برنامه های فوق ، بمنظور Download و توزيع انواع متفاوتی از داده ( موزيک ، ويدئو ، گرافيک ، متن ، Source code برنامه ) استفاده می گردد . داده های مبادله شده از طريق برنامه های فوق اغلب مشکوک و دراکثر موارد قوانين کپی رايت بين المللی را نقص می نمايند. بر اساس گزارشات ارائه شده توسط Napster ، برنامه های فوق اغلب بصورت يک برنامه سرويس گيرنده توزيع و زمينه اشتراک فايل ها ، دايرکتوری ها و حتی تمامی فضای ذخيره سازی هارد ديسک را فراهم می نمايد . کاربران با استفاده از برنامه های سرويس گيرنده ، پارامتر مورد نظر خود برای جستجو را مشخص و در ادامه يک و يا چندين کانال ارتباطی بين  شرکت کنندگان بعنوان نرم افزار سرويس گيرنده و ارتباط با ساير شرکت کنندگان در شبکه های ديگر بمنظور مکان يابی فايل های  مورد نظر ايجاد می گردد. سرويس گيرندگان قادر به دريافت فايل از ساير کاربران بوده و می توانند داده های موجود بر روی سيستم خود را برای استفاده ديگران به اشتراک گذارند.
فرآيند ارتباطات نظير به نظير شامل دريافت درخواست ها ، پاسخ به آنان و ارسال فايل ها می باشد . يک سرويس گيرنده (شرکت کننده)  می تواند بطور همزمان چندين download را انجام و  در همان زمان اقدام به انجام چندين upload نمايد . جستجو برای يافتن محتوی می تواند شامل هر نوع رشته حرفی مورد نظر کاربر باشد . اکثر برنامه های فوق در حال حاضر از پورت های پيش فرض استفاده می نمايند ولی می توان بصورت اتوماتيک و يا دستی آن را بمنظور استفاده از پورت  ديگر تنظيم نمود . سمت و سوی اين تکنولوژی  بسمت  استفاده از http wrappers بوده که با ارائه تسهيلات لازم محدوديت های اعمال شده در سطح يک سازمان بمنظور استفاده از اينترنت را ناديده خواهد گرفت . با توجه به ماهيت multithread  برنامه های فوق در ارتباط با جستجو و انتقال فايل ها ، ترافيک شبکه های LAN افزايش و حتی  در موارد خاص امکان اشباع  کامل لينک های WAN نيز وجود خواهد داشت .  در زمان استفاده از برنامه های P2P ، سيتستم ها در معرض آسيب و تهديد جدی قرار خواهند گرفت . تهديدات فوق ، می تواند باعث حملاتی از نوع   DoS  ،  دستيابی غير مجاز به تمامی شبکه ( بدليل ضعف در پيکربندی سرويس گيرنده P2P ) و بمخاطره انداختن اطلاعات محرمانه ( هيچگونه محدوديتی دررابطه با  نوع فايلی که به اشتراک گذاشته می شود ، وجود ندارد )  گردد .در اين رابطه مسائل قانونی ( کپی رايت ) مربوطه نيز وجود داشته که بطور جدی توسط شرکت های ارائه دهنده محصولات ( صوتی ، تصويری ، نرم افزارهای کاربردی و ... )  دنبال می گردد .محتوی ارائه شده از طريق برنامه های P2P شامل قانونی کپی رايت بوده  ( موزيک ، فيلم و برنامه )  و استفاده کنندگان از اين نوع برنامه ها می بايست به اين موضوع مهم نيز توجه نمايند !

سيستم های عامل در معرض تهديد
از برنامه های  P2P ، می توان در ارتباط با تمامی نسخه های موجود سيستم عامل ويندوز استفاده نمود( نسخه های متعددی بمنظور نصب بر روی ويندوز نوشته شده است ) . البته در اين رابطه نسخه های مربوط به سيستم های  عامل  يونيکس و لينوکس نيز وجود داشته و آنان نيز  در معرض اين تهديد می باشند .

نحوه تشخيص آسيب پذير ی سيستم
تشخيص استفاده از برنامه های P2P بر روی شبکه ، چالش های خاص خود را بدنبال خواهد داشت  .دراين رابطه موارد زير پيشنهاد می گردد :

  • مانيتورينگ ترافيک شبکه بر روی پورت های متداول استفاده  شده توسط اين نوع از برنامه ها
  • جستجو ترافيک شبکه برای application layer strings  که عموما" توسط برنامه های P2P استفاده می گردد.
  • بررسی مکان های ذخيره سازی شبکه بمنظور کنترل محتوی download شده توسط کاربر (فايل های    mp3, *.wma, *.avi, *.mpg, *.mpeg, *.jpg, *.gif, *.zip.*  و exe. * )
  • مانيتورينگ فضاء ذخيره سازی شبکه  برای کاهش ناگهانی ظرفيت آزاد ديسک

نحوه حفاظت در مقابل نقطه آسيب پذير
بمنظور حفاظت در مقابل نقطه آسيب پذير فوق ، می بايست عمليات متفاوتی را انجام داد :

سياست شرکت / سازمان

  • استفاده از يک سياست معقول در ارتباط با downloading و قانون کپی رايت در هر سازمان
  • استفاده از يک سياست معقول در ارتباط با  نحوه استفاده از اينترنت در هر سازمان
  • بررسی مستمر فضای ذخيره سازی شبکه و ايستگاههای شبکه برای  محتوی غير مجاز

محدوديت شبکه

  • کاربران معمولی نمی بايست قادر به نصب نرم افزار خصوصا" نرم افزارهای P2P باشند .
  • استفاده از يک سرويس دهنده پروکسی بمنظور کنترل دستيابی به اينترنت
  • فيلتريتگ ( خروجی / ورودی ) پورت ها ی استفاده شده توسط برنامه های P2P
  • مانيتورينگ شبکه خصوصا" در ارتباط با  ترافيک P2P 
  • استفاده روزانه از نرم افزارهای آنتی ويروس بهنگام شده

پورت های متدوال استفاده شده توسط برنامه های P2P :

  • برنامه Napsster ( پورت های TCP شماره : 8888 ، 8875 ، 6699 )
  • برنامه eDonkey ( پورت های TCP شماره 4661 ، 4662 ، 4665 )  
  •  برنامه Gnutella ( پورت های TCP/UDP شماره 6345 ، 6346 ، 6347 )
  • برنامه Kazza   ( پورت TCP شماره هشتاد برای www ، و پورت TCP/UDP شماره 1214 )

دهمين  نقطه آسيب پذير : ( Simple Network Management Protocol (SNMP
از پروتکل SNMP بمنظور کنترل ، مانيتورينگ از راه دور و پيکربندی  تمامی دستگاه های پيشرفته مبتنی بر TCP/IP استفاده می شود.با اينکه  استفاده از SNMP در بين پلات فرم های متفاوت شبکه استفاده می گردد، ولی در اغلب موارد از آن  بمنظور پيکربندی و مديريت دستگاههائی نظير چاپگر ، روترها ، سوئيچ ها ، Access point ها  و دريافت داده های مورد نياز دستگاههای مانيتورينگ شبکه ، استفاده می شود .
SNMP ، از روش های متفاوتی بمنظور مبادله پيام بين ايستگاههای مديريت SNMP و دستگاههای شبکه ای  استفاده می نمايد . روش های استفاده شده بمنظور برخورد با پيام های مبادله شده و مکانيزم تائيد و معتبر سازی پيا م ها،  از جمله عوامل اصلی در رابطه با  نقاط آسيب پذير SNMP می باشند .
نقاط آسيب پذير مرتبط با روش های استفاده شده در SNMP ( نسخه يک )  بهمراه جزئيات مربوطه را می توان در آدرس  CERT - 2002 - 03  ، مشاهده نمود . نقاط آسيب پذير متعددی در SNMP متاثر از روش برخورد با پيام ها توسط ايستگاه های مديريتی است . نقاط آسيب پذير فوق، به نسخه ای خاص  از SNMP محدود نبوده و محصولات متعدد ارائه شده توسط توليد کنندگان را نيز شامل می گردد . مهاجمان با استفاده از نقاط آسيب پذير فوق ، قادر به انجام حملات متفاوت از نوع DoS ( از کار افتادن يک سرويس ) تا پيکربندی و مديريت ناخواسته ماشين آلات و تجهيزات مبتنی بر SNMP  ، می باشند .
برخی از نقاط آسيب پذير در ارتباط با SNMP متاثر از روش های استفاده شده بمنظور تائيد و معتبر سازی پيام ها در نسخه های قديمی SNMP  است ( توارث مشکلات ) . نسخه های يک و دو SNMP ، از يک " رشته  مشترک " غيررمز شده بعنوان  تنها  گزينه موجود  برای تائيد پيام ها استفاده می نمايند . عدم استفاده از روش های مناسب رمزنگاری ، می تواند عاملی مهم در پيدايش نقاط آسيب پذير باشد. نگرش پيش فرض  نسبت به  " رشته مشترک  " که  توسط تعداد زيادی از دستگاههای SNMP استفاده می گردد ، از ذيگر عوامل مهم در ارتباط با عرضه نقاط آسيب پذير است( برخی از توليد کنندگان بمنظور افزايش سطح ايمنی مربوط به داده های حساس ، رشته را بصورت "اختصاصی " تغيير و استفاده می نمايند ) .  شنود اطلاعاتی و ترافيک SNMP ، می تواند افشاء  اطلاعات و ساختار شبکه ( سيستم ها و دستگاههای متصل شده به آن  )  را بدنبال داشته باشد . مهاجمين با استفاده از اطلاعات فوق ، قادر به انتخاب مناسب و دقيق هدف خود بمنظور برنامه ريزی حملات خود می باشند .
اکثر توليد کنندگان بصورت پيش فرض نسخه يک SNMP را فعال و تعدادی  ديگر،  محصولاتی را ارائه می نمايند که  قادر به استفاده ازمدل های امنيتی نسخه شماره سه SNMP  نمی باشند. ( با استفاده از مدل های امنيـی ارائه شده در نسخه شماره سه SNMP ، می توان پيکربندی لازم در خصوص روش های تائيد را بهبود بخشيد ) .

SNMP  ، بصورت پيش فرض در ويندوز فعال نمی گردد .و اغلب بعنوان يک سرويس تکميلی توسط مدير يت سيستم و يا شبکه ، نصب می گردد . ساير محصولات مديريت شبکه ممکن است مستلزم Windows Service و يا نصب مربوط به خود باشند . SNMP  يک روش ارتباطی استفاده شده بمنظور مديريت چاپگرها ، سيستم های UPS ،  دستگاه های access point  و Bridges   است .  از SNMP اغلب در نسخه های متفاوت يونيکس و لينوکس  نسخه های متفاوت سيستم عامل نت ور ، تجهيزات شبکه ای و دستگاههای embedded  استفاده می شود.  با توجه به  نتايج حاصل از آناليز حملات مبتنی بر SNMP  ، مشخص شده است که اکثر حملات در اين رابطه بدليل ضعف در پيکربندی SNMP در سيستم های يونيکس است .

سيستم های عامل در معرض تهديد
تقريبا" تمامی نسخه های سيستم عامل ويندوز بهمراه يک گزينه نصب انتخابی در اينخصوص ارائه شده اند .  سرويس فوق بصورت پيش فرض نصب و فعال نمی باشد. اکثر دستگاه ها و سيستم های عامل شبکه ای مبتنی بر SNMP دارای نقطه آسيب پذير فوق بوده و در معرض تهديد قرار خواهند داشت .

نحوه تشخيص آسيب پذيری سيستم
بمنظور بررسی نصب SNMP  بر روی دستگاههای موجود و متصل شده در شبکه ، می توان از يک برنامه کمکی و يا روش دستی استفاده نمود. برنامه پويشگر SNScan ، نمونه ای در اين زمينه بوده که می توان آن را از طريق آدرس  http://www.foundstone.com/knowledge/free_tools.html  دريافت نمود. در موارديکه امکان استفاده از ابزارهای  پويشگر وجود ندارد ، می توان بررسی لازم در خصوص نصب و اجراء SNMP  را بصورت دستی انجام داد. در اين راستا می توان به مستندات سيستم عامل مربوطه مراجعه تا پس از آگاهی از نحوه پياده سازی SNMP  ، عمليات لازم بمنظور تشخيص فعال بودن SNMP را انجام داد
در اين رابطه می توان با بررسی اجراء سرويس در Services applet ،  در ليست پردازه ها نسبت به اين موضوع آگاه و يا با دستور  " net stat " در خط دستور و يا با مشاهده و جستجوی سرويس های اجرائی بر روی پورت های 161 و 162 با استفاده از دستور "netstat -an" اين عمليات را انجام داد . در صورت تحقق يکی از شرايط زير و نصب  SNMP ،  سيستم در معرض آسيب  و تهديد قرار خواهد داشت :

  • وجود اسامی SNMP Community پيش فرض و يا خالی ( اسامی استفاده شده بعنوان رمزهای عبور )
  • وجود اسامی SNMP Community  قابل حدس
  • وجود رشته های مخفی SNMP Community

نحوه حفاظت در مقابل نقطه آسيب پذير 
بمنظور حفاظت در مقابل نقطه آسيب پذير فوق ،در دو زمينه می توان اقدامات حفاظتی را سازماندهی نمود .


 حفاظت در مقابل  درخواست های آسيب رسان  و تهديد کننده :

  • غير فعال نمودن SNMP در صورت عدم ضرورت استفاده از آن
  • استفاده از يک مدل امنيتی مبتنی بر کاربر SNMPv3 ،  بمنظور تائيد پيام ها و رمزنگاری داده ها ( در صورت امکان ) 
  • در صورت استفاده از SNMP نسخه يک و يا دو ، می بايست آخرين نسخه Patch ارائه شده توسط توليد کننده ، نصب گردد برای آگاهی از مشخصات توليدکننگان، می توان به  بخش ضميمه  CERT Advisory CA-2002-03 ، مراجعه نمود .
  • SNMP را در گلوگاه های ورودی شبکه فيلتر نمائيد ( پورت 161 مربوط به TCP/UDP و پورت 162 مربوطه به TCP/UDP )  . عمليات فوق را در موارديکه ضرورتی به مديريت دستگاهها بصورت خارجی وجود ندارد ، می بايست انجام داد .

  • از  کنترل دستيابی مبتنی بر ميزبان بر روی سيستم های SNMP agent استفاده گردد . ويژگی فوق ممکن است توسط SNMP agent سيستم های عامل دارای محدوديت هائی باشد ، ولی می توان کنترل لازم در خصوص پذيرش درخواست ها توسط agent مربوطه را انجام داد. در اکثر نسخه های ويندوز 2000 و به بعد از آن ، می توان عمليات فوق را توسط  يک فيلتر IPSEC  انجام داد . استفاده از يک فايروال فيلترينگ بسته های اطلاعاتی مبتنی بر agent  بر روی يک ميزبان  نيز می تواند در بلاک نمودن درخواست های ناخواسته SNMP موثر واقع شود .

 حفاظت در مقابل رشته های قابل حدس 

  • غير فعال نمودن SNMP در صورت عدم ضرورت استفاده از آن

  • استفاده از يک مدل امنيتی مبتنی بر کاربر SNMPv3 ،  بمنظور تائيد پيام ها و رمزنگاری داده ها ( در صورت امکان ) 

  • در صورت استفاده از SNMP نسخه يک و يا دو ، می بايست از يک سياست خاص بمنظور اسامی community ( استفاده شده بعنوان رمزهای عبور ) استفاده گردد. در اين راستا لازم است اسامی بگونه ای انتخاب گردند که  غير قابل حدس بوده و بصورت ادواری و در محدوده های خاص زمانی نيز تغيير داده شوند .

  • با استفاده از امکانات موجود می بايست بررسی لازم در خصوص  استحکام اسامی در نظر گرفته شده برای رمزهای عبور راانجام داد.در اين رابطه می توان از خودآموز و ابزار ارائه شده در آدرس  http://www.sans.org/resources/idfaq/snmp.php  ، استفاده کرد.

  • SNMP را در گلوگاه های ورودی شبکه فيلتر نمائيد ( پورت 161 مربوط به TCP/UDP و پورت 162 مربوطه به TCP/UDP )  . عمليات فوق را در موارديکه ضرورتی به مديريت دستگاهها بصورت خارجی وجود ندارد ، می بايست انجام داد . پيکربندی فيلترينگ را صرفا" بمنظور ترافيک مجاز SNMP بين subnet های مميزی شده ، انجام دهيد.



جستجو

مقالات                 
دايره المعارف       
دوره های آموزشی


 

 

مشاهده گروه ها



              

 

 تهيه شده در شرکت سخا روش -  1382