مهمترین نقاط آسیب پذیر ویندوز ( بخش پنجم )

هشتمین  نقطه آسیب پذیر :    Microsoft Outlook ,Outlook Express
برنامه Outlook ( بخشی از مجموعه نرم افزارهای آفیس )، یک مدیر اطلاعات شخصی و  سرویس گیرنده پست الکترونیکی ارائه شده توسط مایکروسافت است . برنامه فوق ، علاوه بر ارائه خدمات اولیه مرتبط با یک برنامه پست الکترونیکی ، امکان مدیریت تماس ها ، فعالیت ها و زمان را نیز فراهم می نماید .در صورت ارتباط Outlook با  برنامه Exchange Server ( سرویس دهنده پست الکترونیکی ارائه شده توسط مایکروسافت ) ، توانائی و پتانسیل های آن مضاعف می گردد. حمایت از چندین کاربر ، ارائه تسهیلات لازم در خصوص تنظیم قرار ملاقات ، زمان ، اشتراک تقویم و صندوق پستی ، نمونه هائی از پتانسیل های موجود در این زمینه می باشند .
Outlook Express) OE) ، نخسه ای رایگان و با قابلیت های کمتر نسبت به Outlook بوده که همزمان با ارائه IE نسخه یک ، بهمراه آن بر روی  سیستم  نصب می گردد( از زمان معرفی ویندوز 95 ، همواره بعنوان یک بخش لاینفک مطرح بوده است ) . با  تلفیق  محصولاتی نظیر IE و OE  در سایر نرم افزارهای تولیدی مایکروسافت نظیر Backoffice ، آفیس  و  سایر نسخه های سیستم عامل ویندوز ، امکان استفاده از تکنولوژی های متداول و کد مربوطه بین پلات فرم،  فراهم می گردد . بعنوان نمونه ، برنامه OutLook 98  مشابه Outlook Express از  پارسینگ HTML مربوط به IE و موتور rendering استفاده می نماید . بنابراین در صورت نصب  Outlook 98 (بدون نسخه چهار و یا بالاتر) ،امکان نصب برنامه IE نیز فراهم خواهد شد . استفاده از رویکرد فوق ، دستاوردهای مثبتی همچون :استفاده موثرتر از کد را بدنبال خواهد داشت ولی با توجه به استفاده مشترک از عناصر موجود ، در صورت بروز اشکال در یک نقطه ، دامنه آن گریبانگیر محصولات متعددی خواهد شد. مثلا" در صورت وجود یک ضعف امنیتی در یک عنصر خاص ، ضعف موجود بسرعت گسترش و زمینه سوء استفاده از آن در یک محدوده وسیعتر در اختیار مهاجمان قرار خواهد گرفت .قطعا" در چنین شرایطی نگهداری یک محیط عملیاتی ایمن و مطمئن ، چالش های خاص خود را بدنبال خواهد داشت . یکی از اهداف مایکروسافت  ، پیاده سازی یک راه حل مناسب بمنظور مدیریت اطلاعات و نامه های الکترونیکی  با قابلیت استفاده مجدد بوده است. ویژگی های اتوماتیک ارائه شده با کنترل های امنیتی ایجاد شده در تعارض بوده و این موضوع می تواند زمینه بروز تهدیدات و خطراتی را از ناحیه  ویروس های مبتنی بر نامه های الکترونیکی ، کرم ها  و کدهای مخرب بدنبال داشته باشد .

سیستم های عامل در معرض تهدید
OE ، سرویس گیرنده نامه های الکترونیکی رایگان ارائه شده بهمراه تمامی نسخه های IE و ویندوز  است . بمنظور آگاهی از نسخه نرم افزار OE ، پس از اجرای برنامه IE ، با فعال نمودن گزینه About از طریق منوی Help ، می توان از شماره نسخه نرم افزار فوق بر روی سیستم آگاهی یافت . نسخه های پایئن تر از پنج می بایست بلافاصله به نسخه جدید ارتقاء داده شوند.
OutLook ، یک مدیر اطلاعاتی با قابلیت های فراوان است که هم  بعنوان یک برنامه جداگانه و هم بعنوان عضوی از خانواده آفیس ارائه می گردد . برنامه فوق بصورت اتوماتیک بر روی یک سیستم نصب نخواهد شد و می بایست در خصوص نصب آن ، تصمیم گیری گردد.( نصب پیش فرض جایگاهی ندارد) .
برنامه Outlook دارای نسخه های متعددی است : 

•  Outlook 95
• Outlook 97
• Outlook 2000 ( به آن  Outlook 9 نیز گفته می شود )
• Outlook XP ( که به آن Outlook 10 و یا Outlook 2002  نیز گفته می شود )

با فعال نمودن گزینه About از طریق منوی Help ، ( پس از اجرای برنامه IE  ) می توان از شماره نسخه برنامه OE نصب شده بر روی سیستم ، آگاهی یافت . نسخه های پائین تر از 2000 می بایست بسرعت patch و بهنگام گردند . در این رابطه می توان از منابع اطلاعاتی زیر استفاده  نمود :

- http://www.microsoft.com/windows/oe/
- http://www.microsoft.com/office/outlook/ 

نحوه تشخیص آسیب پذیر ی سیستم
تمامی کامپیوترهائی که بر روی آنان سیستم های عامل ویندوز نصب و یا دارای یک نسخه از IE می باشند که بهمراه آن برنامه Outlook Express نیز نصب شده است ، در معرض آسیب قرار خواهند داشت . با استفاده از برنامه نصب مجموعه برنامه های آفیس ، می توان اقدام به نصب برنامه Outlook نمود . نسخه های ارائه شده OE و Outlook برای مکینتاش نیز دارای مسائل امنیتی خاص خود می باشند.  در صورت عدم بهنگام سازی نسخه نصب شده و یا عدم رعایت تنظیمات امنیتی مربوطه ، سیستم در معرض تهدید قرار خواهد داشت .

نحوه حفاظت در مقابل نقطه آسیب پذیر
بمنظور حفاظت در مقابل نقطه آسیب پذیر فوق  و کاهش تهدیدات موجود در این زمینه می باسیت عملیات مختلفی را انجام داد: 
ایمن سازی Outlook و Outlook Express
نصب و تنظیمات پیش فرض برنامه های Outlook و Outlook Express دارای ضعف امنیتی است . در این رابطه می بایست بررسی لازم در خصوص تنظیمات امنیتی  انجام و از بهنگام بودن نسخه نصب شده مطمئن گردید. در اینخصوص موارد زیر پیشنهاد می گردد :

• استفاده مستمر از سایت  http://windowsupdate.microsoft.com/   و نصب تمامی Patch های ارائه شده خصوصا" Critical ( بحرانی )
• غیر فعال نمودن پانل نمایش اولیه (Preview ) . با انتخاب گزینه Layout از طریق منوی  View زمینه غیر فعال نمودن گزینه  Show preview pane  فراهم می گردد.
•  مستحکمتر نمودن تنظیمات ناحیه امنیتی (Security zone) مرتبط با نامه های الکترونیکی  . در این  رابطه از طریق منوی Tools گزینه Options انتخاب و پس از کلیک نمودن  بر روی Security Tab ،  گزینه( Restricted sites zone(More secure انتخاب و مقدار موردنطر High در نظر گرفته شود.

آموزش کاربر ان
با توجه به نقش بسیار مهم عوامل انسانی در ارتباط با فرآیند ایمن سازی اطلاعات ، می بایست کاربران در رابطه با استفاده از نامه های الکترونیکی بدرستی آموزش و توصیه های امنیتی لازم به آنان ارائه گردد. ذکر موارد زیر به کاربران ضروری می باشد :

• در زمان دریافت یک فایل ضمیمه ، حتی اگر منبع ارسال کننده آن مطمئن باشد ، می بایست در ابتدا و قبل از فعال نمودن آن ، بررسی لازم در خصوص ویروس های کامپیوتری انجام شود .
• در زمان دریافت یک فایل ضمیمه ، لازم است در ابتدا آن را در یک فولدر ( غیر از My Documents ) ذخیره نمود . ( آدرس فوق ، توسط تعداد زیادی از ویروس ها بعنوان نقطه شروع یک تهاجم انتخاب می گردد ) .در این راستا می توان  فولدر دیگری و یا حتی ماشینی دیگر را انتخاب نمود(تفکیک مناسب فیل های ضمیمه دریافتی از سایر فایل های موجود بر روی کامپیوتر) .
• از فعال نمودن فایل های ضمیمه همراه یک نامه الکترونیکی  خودداری شود. لازم است به این نکته مهم اشاره گردد که حتی  فایل های DOC و یا XSL می توانند شامل کدهای مخربی باشند که سیستم را در معرض تهدید و آسیب قرار دهد.
• درصورتیکه لازم است فایل دریافتی با استفاده از سایر محصولات مایکروسافت فعال گردد (نظیر Word ) ، می بایست مقدار High برای گزینه Disable macro  درنظر گرفته شود.

آنتی ویروس
نرم افزارهای آنتی ویروس ، امکانات مناسبی را در خصوص حفاظت کامپیوترها در مقابل اکثر کرم ها ، ویروس ها و  سایر کدهای مخرب ، ارائه می نمایند . بانک های اطلاعاتی آنتی ویروس ها حداقل بصورت هفتگی بهنگام می گردند. بمنظور اطمینان از حفاظت در مقابل جدیدترین تهدیدات، اکثر برنامه های پیشرفته آنتی ویروس ، عملیات بهنگام سازی را بصورت اتوماتیک انجام می دهند.  برنامه های جدید و پیشرفته آنتی ویروس دارای قابلیت بررسی و پویش تمامی نامه های وارده وصادره بمنظور اطمینان از بلاک نمودن فایل های شامل کد مخرب و یا اسکریپت ، قبل از تهدید سیستم ها توسط آنان می باشند. پیشنهاد می گردد ،ابزارهای حفاظتی آنتی ویروس قبل از استفاده از نامه های الکترونیکی و یا اینترنت ، بهنگام گردند. تعداد زیادی از ویروس ها وکرم ها  از طریق سرویس گیرندگان نامه های الکترونیکی بصورت فایل های ضمیمه  و یا کد اسکریپت مخرب، در زمان مشاهده Preview ،گسترش می یابند .بمنظور دستیابی به مرجع برنامه های آنتی ویروس در سایت مایکروسافت ، می توان از آدرس  http://www.microsoft.com/security/protect/antivirus.asp   استفاده نمود.

بهنگام سازی Outlook و Outlook Express .
برنامه Outlook Express طی سالیان اخیر بدفعات ارتقاء یافته است ( با هدف افزایش قابلیت ها و ایمنی بالاتر ) . بمنظور دریافت آخرین نسخه  برنامه فوق، می توان از آدرس  http://www.microsoft.com/windows/oe ، استفاده نمود. بمنظور اطمینان ازبهنگام بودن Outlook و سایر برنامه های آفیس می توان از آدرس  Office Product Updates page استفاده نمود . سایت فوق بصورت اتوماتیک موارد بحرانی را تشخیص و بهنگام سازی لازم وضروری را پیشنهاد می نماید .  بمنظور آگاهی از جزئیات مربوط به سایر موارد ایمنی و تنطیمات مرتبط به نسخه آفیس XP ، می توان از آدرس   Office XP Security white paper استفاده نمود . لازم است به این نکته مهم اشاره گردد که در صورتیکه سیستم شما بخشی از یک شبکه می باشد ، می بایست قبل از اعمال هر گونه تغییرات بر روی سیستم ، موضوع به اطلاع مدیریت سیستم رسانده شود. مدیران سیستم می توانند بمنظور آشنائی با جزئیات مربوط به بهنگام سازی امنیتی نامه های الکترونیکی در Outlook ، از Office Resource Kit  استفاده نمایند .

Uninstall نمودن Outlook و Outlook Express 
در صورتیکه از یک برنامه خاص دیگر بمنظور نامه های الکترونیکی و یا سرویس گیرنده مدیریت اطلاعات استفاده می گردد ، می توان اقدام به Uninstall نمودن برنامه های Outlook و Outlook Express از روی سیستم نمود:

•  در صورت نصب Outlook  بر روی تمامی نسخه های ویندوز می توان با استفاده از گزینه Add/Remove Program  اقدام به Uninstall نمودن برنامه نمود.
• در صورت نصب Outlook Express بر روی ویندوز 98 و یا ME ، می توان با انتخاب آیکون Add/Remove Program  و گزینه Windows Setup و انتخاب Outlook Express امکان حذف آن رافراهم نمود .
•  در صورت نصب Outlook Express بر روی ویندوز 2000 و یا XP  ، می توان با توجه به پیچیدگی عملیات مربوطه از آدرس های زیر استفاده نمود : 
  - کاربران ویندوز 2000 که از نسخه Outlook Express Version 5.x/6.0 استفاده می نمایند ، می توانند از آدرس  http://support.microsoft.com/default.aspx?scid=kb;EN-US;q263837  استفاده نمایند .
  - کاربران ویندوز 98 و یا ME که از نسخه Outlook Expree Version 5.x/6.0 استفاده می نمایند ، می توانند از آدرس http://support.microsoft.com/default.aspx?scid=kb;EN-US;q256219   استفاده نمایند .

نهمین  نقطه آسیب پذیر :  (Windows Peer to Peer File Sharing (P2P
نقطه آسیب پذیر فوق ، با سایر موارد اشاره شده متفاوت بوده و این امکان را فراهم می نماید که برنامه های نظیر به نظیر ، بمنزله برنامه های User mode در نظر گرفته شوند .این نوع از برنامه ها در سالیان اخیر بسرعت رشد و مورد استفاده قرار می گیرند. از برنامه های فوق ، بمنظور Download و توزیع انواع متفاوتی از داده ( موزیک ، ویدئو ، گرافیک ، متن ، Source code برنامه ) استفاده می گردد . داده های مبادله شده از طریق برنامه های فوق اغلب مشکوک و دراکثر موارد قوانین کپی رایت بین المللی را نقص می نمایند. بر اساس گزارشات ارائه شده توسط Napster ، برنامه های فوق اغلب بصورت یک برنامه سرویس گیرنده توزیع و زمینه اشتراک فایل ها ، دایرکتوری ها و حتی تمامی فضای ذخیره سازی هارد دیسک را فراهم می نماید . کاربران با استفاده از برنامه های سرویس گیرنده ، پارامتر مورد نظر خود برای جستجو را مشخص و در ادامه یک و یا چندین کانال ارتباطی بین  شرکت کنندگان بعنوان نرم افزار سرویس گیرنده و ارتباط با سایر شرکت کنندگان در شبکه های دیگر بمنظور مکان یابی فایل های  مورد نظر ایجاد می گردد. سرویس گیرندگان قادر به دریافت فایل از سایر کاربران بوده و می توانند داده های موجود بر روی سیستم خود را برای استفاده دیگران به اشتراک گذارند.
فرآیند ارتباطات نظیر به نظیر شامل دریافت درخواست ها ، پاسخ به آنان و ارسال فایل ها می باشد . یک سرویس گیرنده (شرکت کننده)  می تواند بطور همزمان چندین download را انجام و  در همان زمان اقدام به انجام چندین upload نماید . جستجو برای یافتن محتوی می تواند شامل هر نوع رشته حرفی مورد نظر کاربر باشد . اکثر برنامه های فوق در حال حاضر از پورت های پیش فرض استفاده می نمایند ولی می توان بصورت اتوماتیک و یا دستی آن را بمنظور استفاده از پورت  دیگر تنظیم نمود . سمت و سوی این تکنولوژی  بسمت  استفاده از http wrappers بوده که با ارائه تسهیلات لازم محدودیت های اعمال شده در سطح یک سازمان بمنظور استفاده از اینترنت را نادیده خواهد گرفت . با توجه به ماهیت multithread  برنامه های فوق در ارتباط با جستجو و انتقال فایل ها ، ترافیک شبکه های LAN افزایش و حتی  در موارد خاص امکان اشباع  کامل لینک های WAN نیز وجود خواهد داشت .  در زمان استفاده از برنامه های P2P ، سیتستم ها در معرض آسیب و تهدید جدی قرار خواهند گرفت . تهدیدات فوق ، می تواند باعث حملاتی از نوع   DoS  ،  دستیابی غیر مجاز به تمامی شبکه ( بدلیل ضعف در پیکربندی سرویس گیرنده P2P ) و بمخاطره انداختن اطلاعات محرمانه ( هیچگونه محدودیتی دررابطه با  نوع فایلی که به اشتراک گذاشته می شود ، وجود ندارد )  گردد .در این رابطه مسائل قانونی ( کپی رایت ) مربوطه نیز وجود داشته که بطور جدی توسط شرکت های ارائه دهنده محصولات ( صوتی ، تصویری ، نرم افزارهای کاربردی و ... )  دنبال می گردد .محتوی ارائه شده از طریق برنامه های P2P شامل قانونی کپی رایت بوده  ( موزیک ، فیلم و برنامه )  و استفاده کنندگان از این نوع برنامه ها می بایست به این موضوع مهم نیز توجه نمایند !

سیستم های عامل در معرض تهدید
از برنامه های  P2P ، می توان در ارتباط با تمامی نسخه های موجود سیستم عامل ویندوز استفاده نمود( نسخه های متعددی بمنظور نصب بر روی ویندوز نوشته شده است ) . البته در این رابطه نسخه های مربوط به سیستم های  عامل  یونیکس و لینوکس نیز وجود داشته و آنان نیز  در معرض این تهدید می باشند .

نحوه تشخیص آسیب پذیر ی سیستم
تشخیص استفاده از برنامه های P2P بر روی شبکه ، چالش های خاص خود را بدنبال خواهد داشت  .دراین رابطه موارد زیر پیشنهاد می گردد :

• مانیتورینگ ترافیک شبکه بر روی پورت های متداول استفاده  شده توسط این نوع از برنامه ها
• جستجو ترافیک شبکه برای application layer strings  که عموما" توسط برنامه های P2P استفاده می گردد.
• بررسی مکان های ذخیره سازی شبکه بمنظور کنترل محتوی download شده توسط کاربر (فایل های    mp3, *.wma, *.avi, *.mpg, *.mpeg, *.jpg, *.gif, *.zip.*  و exe. * )
• مانیتورینگ فضاء ذخیره سازی شبکه  برای کاهش ناگهانی ظرفیت آزاد دیسک

نحوه حفاظت در مقابل نقطه آسیب پذیر
بمنظور حفاظت در مقابل نقطه آسیب پذیر فوق ، می بایست عملیات متفاوتی را انجام داد :

سیاست شرکت / سازمان

• استفاده از یک سیاست معقول در ارتباط با downloading و قانون کپی رایت در هر سازمان
• استفاده از یک سیاست معقول در ارتباط با  نحوه استفاده از اینترنت در هر سازمان
• بررسی مستمر فضای ذخیره سازی شبکه و ایستگاههای شبکه برای  محتوی غیر مجاز

محدودیت شبکه

• کاربران معمولی نمی بایست قادر به نصب نرم افزار خصوصا" نرم افزارهای P2P باشند .
• استفاده از یک سرویس دهنده پروکسی بمنظور کنترل دستیابی به اینترنت
• فیلتریتگ ( خروجی / ورودی ) پورت ها ی استفاده شده توسط برنامه های P2P
• مانیتورینگ شبکه خصوصا" در ارتباط با  ترافیک P2P 
• استفاده روزانه از نرم افزارهای آنتی ویروس بهنگام شده

پورت های متدوال استفاده شده توسط برنامه های P2P :

• برنامه Napsster ( پورت های TCP شماره : 8888 ، 8875 ، 6699 )
• برنامه eDonkey ( پورت های TCP شماره 4661 ، 4662 ، 4665 )  
•  برنامه Gnutella ( پورت های TCP/UDP شماره 6345 ، 6346 ، 6347 )
• برنامه Kazza   ( پورت TCP شماره هشتاد برای www ، و پورت TCP/UDP شماره 1214 )

دهمین  نقطه آسیب پذیر : ( Simple Network Management Protocol (SNMP
از پروتکل SNMP بمنظور کنترل ، مانیتورینگ از راه دور و پیکربندی  تمامی دستگاه های پیشرفته مبتنی بر TCP/IP استفاده می شود.با اینکه  استفاده از SNMP در بین پلات فرم های متفاوت شبکه استفاده می گردد، ولی در اغلب موارد از آن  بمنظور پیکربندی و مدیریت دستگاههائی نظیر چاپگر ، روترها ، سوئیچ ها ، Access point ها  و دریافت داده های مورد نیاز دستگاههای مانیتورینگ شبکه ، استفاده می شود .
SNMP ، از روش های متفاوتی بمنظور مبادله پیام بین ایستگاههای مدیریت SNMP و دستگاههای شبکه ای  استفاده می نماید . روش های استفاده شده بمنظور برخورد با پیام های مبادله شده و مکانیزم تائید و معتبر سازی پیا م ها،  از جمله عوامل اصلی در رابطه با  نقاط آسیب پذیر SNMP می باشند .
نقاط آسیب پذیر مرتبط با روش های استفاده شده در SNMP ( نسخه یک )  بهمراه جزئیات مربوطه را می توان در آدرس  CERT - 2002 - 03  ، مشاهده نمود . نقاط آسیب پذیر متعددی در SNMP متاثر از روش برخورد با پیام ها توسط ایستگاه های مدیریتی است . نقاط آسیب پذیر فوق، به نسخه ای خاص  از SNMP محدود نبوده و محصولات متعدد ارائه شده توسط تولید کنندگان را نیز شامل می گردد . مهاجمان با استفاده از نقاط آسیب پذیر فوق ، قادر به انجام حملات متفاوت از نوع DoS ( از کار افتادن یک سرویس ) تا پیکربندی و مدیریت ناخواسته ماشین آلات و تجهیزات مبتنی بر SNMP  ، می باشند .
برخی از نقاط آسیب پذیر در ارتباط با SNMP متاثر از روش های استفاده شده بمنظور تائید و معتبر سازی پیام ها در نسخه های قدیمی SNMP  است ( توارث مشکلات ) . نسخه های یک و دو SNMP ، از یک " رشته  مشترک " غیررمز شده بعنوان  تنها  گزینه موجود  برای تائید پیام ها استفاده می نمایند . عدم استفاده از روش های مناسب رمزنگاری ، می تواند عاملی مهم در پیدایش نقاط آسیب پذیر باشد. نگرش پیش فرض  نسبت به  " رشته مشترک  " که  توسط تعداد زیادی از دستگاههای SNMP استفاده می گردد ، از ذیگر عوامل مهم در ارتباط با عرضه نقاط آسیب پذیر است( برخی از تولید کنندگان بمنظور افزایش سطح ایمنی مربوط به داده های حساس ، رشته را بصورت "اختصاصی " تغییر و استفاده می نمایند ) .  شنود اطلاعاتی و ترافیک SNMP ، می تواند افشاء  اطلاعات و ساختار شبکه ( سیستم ها و دستگاههای متصل شده به آن  )  را بدنبال داشته باشد . مهاجمین با استفاده از اطلاعات فوق ، قادر به انتخاب مناسب و دقیق هدف خود بمنظور برنامه ریزی حملات خود می باشند .
اکثر تولید کنندگان بصورت پیش فرض نسخه یک SNMP را فعال و تعدادی  دیگر،  محصولاتی را ارائه می نمایند که  قادر به استفاده ازمدل های امنیتی نسخه شماره سه SNMP  نمی باشند. ( با استفاده از مدل های امنیـی ارائه شده در نسخه شماره سه SNMP ، می توان پیکربندی لازم در خصوص روش های تائید را بهبود بخشید ) .

SNMP  ، بصورت پیش فرض در ویندوز فعال نمی گردد .و اغلب بعنوان یک سرویس تکمیلی توسط مدیر یت سیستم و یا شبکه ، نصب می گردد . سایر محصولات مدیریت شبکه ممکن است مستلزم Windows Service و یا نصب مربوط به خود باشند . SNMP  یک روش ارتباطی استفاده شده بمنظور مدیریت چاپگرها ، سیستم های UPS ،  دستگاه های access point  و Bridges   است .  از SNMP اغلب در نسخه های متفاوت یونیکس و لینوکس  نسخه های متفاوت سیستم عامل نت ور ، تجهیزات شبکه ای و دستگاههای embedded  استفاده می شود.  با توجه به  نتایج حاصل از آنالیز حملات مبتنی بر SNMP  ، مشخص شده است که اکثر حملات در این رابطه بدلیل ضعف در پیکربندی SNMP در سیستم های یونیکس است .

سیستم های عامل در معرض تهدید
تقریبا" تمامی نسخه های سیستم عامل ویندوز بهمراه یک گزینه نصب انتخابی در اینخصوص ارائه شده اند .  سرویس فوق بصورت پیش فرض نصب و فعال نمی باشد. اکثر دستگاه ها و سیستم های عامل شبکه ای مبتنی بر SNMP دارای نقطه آسیب پذیر فوق بوده و در معرض تهدید قرار خواهند داشت .

نحوه تشخیص آسیب پذیری سیستم
بمنظور بررسی نصب SNMP  بر روی دستگاههای موجود و متصل شده در شبکه ، می توان از یک برنامه کمکی و یا روش دستی استفاده نمود. برنامه پویشگر SNScan ، نمونه ای در این زمینه بوده که می توان آن را از طریق آدرس  http://www.foundstone.com/knowledge/free_tools.html  دریافت نمود. در مواردیکه امکان استفاده از ابزارهای  پویشگر وجود ندارد ، می توان بررسی لازم در خصوص نصب و اجراء SNMP  را بصورت دستی انجام داد. در این راستا می توان به مستندات سیستم عامل مربوطه مراجعه تا پس از آگاهی از نحوه پیاده سازی SNMP  ، عملیات لازم بمنظور تشخیص فعال بودن SNMP را انجام داد
در این رابطه می توان با بررسی اجراء سرویس در Services applet ،  در لیست پردازه ها نسبت به این موضوع آگاه و یا با دستور  " net stat " در خط دستور و یا با مشاهده و جستجوی سرویس های اجرائی بر روی پورت های 161 و 162 با استفاده از دستور "netstat -an" این عملیات را انجام داد . در صورت تحقق یکی از شرایط زیر و نصب  SNMP ،  سیستم در معرض آسیب  و تهدید قرار خواهد داشت :

• وجود اسامی SNMP Community پیش فرض و یا خالی ( اسامی استفاده شده بعنوان رمزهای عبور )
• وجود اسامی SNMP Community  قابل حدس
• وجود رشته های مخفی SNMP Community

نحوه حفاظت در مقابل نقطه آسیب پذیر 
بمنظور حفاظت در مقابل نقطه آسیب پذیر فوق ،در دو زمینه می توان اقدامات حفاظتی را سازماندهی نمود .

 حفاظت در مقابل  درخواست های آسیب رسان  و تهدید کننده :

• غیر فعال نمودن SNMP در صورت عدم ضرورت استفاده از آن
• استفاده از یک مدل امنیتی مبتنی بر کاربر SNMPv3 ،  بمنظور تائید پیام ها و رمزنگاری داده ها ( در صورت امکان ) 
• در صورت استفاده از SNMP نسخه یک و یا دو ، می بایست آخرین نسخه Patch ارائه شده توسط تولید کننده ، نصب گردد برای آگاهی از مشخصات تولیدکننگان، می توان به  بخش ضمیمه  CERT Advisory CA-2002-03 ، مراجعه نمود .

• SNMP را در گلوگاه های ورودی شبکه فیلتر نمائید ( پورت 161 مربوط به TCP/UDP و پورت 162 مربوطه به TCP/UDP )  . عملیات فوق را در مواردیکه ضرورتی به مدیریت دستگاهها بصورت خارجی وجود ندارد ، می بایست انجام داد .

• از  کنترل دستیابی مبتنی بر میزبان بر روی سیستم های SNMP agent استفاده گردد . ویژگی فوق ممکن است توسط SNMP agent سیستم های عامل دارای محدودیت هائی باشد ، ولی می توان کنترل لازم در خصوص پذیرش درخواست ها توسط agent مربوطه را انجام داد. در اکثر نسخه های ویندوز 2000 و به بعد از آن ، می توان عملیات فوق را توسط  یک فیلتر IPSEC  انجام داد . استفاده از یک فایروال فیلترینگ بسته های اطلاعاتی مبتنی بر agent  بر روی یک میزبان  نیز می تواند در بلاک نمودن درخواست های ناخواسته SNMP موثر واقع شود .

 حفاظت در مقابل رشته های قابل حدس 

• غیر فعال نمودن SNMP در صورت عدم ضرورت استفاده از آن

• استفاده از یک مدل امنیتی مبتنی بر کاربر SNMPv3 ،  بمنظور تائید پیام ها و رمزنگاری داده ها ( در صورت امکان ) 

• در صورت استفاده از SNMP نسخه یک و یا دو ، می بایست از یک سیاست خاص بمنظور اسامی community ( استفاده شده بعنوان رمزهای عبور ) استفاده گردد. در این راستا لازم است اسامی بگونه ای انتخاب گردند که  غیر قابل حدس بوده و بصورت ادواری و در محدوده های خاص زمانی نیز تغییر داده شوند .

• با استفاده از امکانات موجود می بایست بررسی لازم در خصوص  استحکام اسامی در نظر گرفته شده برای رمزهای عبور راانجام داد.در این رابطه می توان از خودآموز و ابزار ارائه شده در آدرس  http://www.sans.org/resources/idfaq/snmp.php  ، استفاده کرد.

• SNMP را در گلوگاه های ورودی شبکه فیلتر نمائید ( پورت 161 مربوط به TCP/UDP و پورت 162 مربوطه به TCP/UDP )  . عملیات فوق را در مواردیکه ضرورتی به مدیریت دستگاهها بصورت خارجی وجود ندارد ، می بایست انجام داد . پیکربندی فیلترینگ را صرفا" بمنظور ترافیک مجاز SNMP بین subnet های ممیزی شده ، انجام دهید.