Windows XP em uma rede, preocupações com segurança?

Navegue suas respostas
2

Eu tenho um cenário em que preciso continuar a executar um PC com Windows XP, mesmo que o XP não seja suportado pela Microsoft.

O PC será conectado à minha rede, mas apenas com o objetivo de permitir que uma máquina virtual Linux acesse a Internet através da conexão de rede do PC. Nada mais no PC vai tocar na internet.

A que tipos de riscos de segurança posso estar exposto aqui? Sempre achei que era necessário navegar em um site desonesto ou executar / abrir um arquivo malicioso para que algo ruim acontecesse. Isso não pode acontecer neste PC (e a máquina virtual usa rede em ponte, o que significa que seu tráfego está bem isolado).

  1. Um PC com Windows XP pode ser explorado simplesmente por estar conectado a uma rede, sem interação do usuário?

  2. Se houver riscos, que medidas práticas podem ser tomadas para mitigá-los, mantendo a configuração física e a funcionalidade como estão?

A recompensa está aberta

Um número enorme de pessoas deve se encontrar em uma posição semelhante, onde precisa expor um PC legado do XP (ou VM para esse assunto) a uma rede. É por isso que estou oferecendo 500 pontos, na esperança de obtermos uma resposta sólida.

Downvoters: Não tenha vergonha de deixar um comentário. Eu posso melhorar a questão, mas somente se eu souber o que há de errado com isso.

    
por misha256 02.01.2016 / 05:01

2 respostas

4

"Riscos à segurança" aqui são meio amplos - a questão grande aqui é que o XP não é suportado, e se houver alguma nova ameaça direcionada aos muitos PCs XP ainda em funcionamento não será consertado . Como tal, se eu listei problemas de segurança especificamente, seria uma lista crescente . O Windows XP é um alvo estático com ameaças que crescem dinamicamente

Claro, eu tive um velho PC XP explorado quando era o novo e brilhante sistema operacional, e usado por um skiddie para armazenar warez então ... é certamente possível alguns anos depois.

Vamos ver um lista longa e aleatória de vulnerabilidades que encontrei na internet

The Security Account Manager Remote (SAMR) protocol implementation in Microsoft Windows XP SP2 and SP3, Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, and Windows Server 2012 Gold and R2 does not properly determine the user-lockout state, which makes it easier for remote attackers to bypass the account lockout policy and obtain access via a brute-force attack, aka "SAMR Security Feature Bypass Vulnerability."

Então ... Sim, não é só você. Basicamente, qualquer vulnerabilidade encontrada no XP permanece aberta e o MS não está corrigindo isso. Nem todas as vulnerabilidades dependem da estupidez direta do usuário . Qualquer sistema visível na internet será cutucado, cutucado e testado. NAT obscureceria você, talvez, mas os bandidos também saberiam

Curiosamente este é o único caso em que o XP PC faz sentido.

Em teoria, você pode mitigar isso em grande parte com regras muito rígidas de firewall, desativando qualquer serviços desnecessários e mantendo o sistema enxuto. Especificamente, desligue qualquer coisa que permita o acesso remoto de qualquer tipo de , logins remotos etc.

Eu consideraria uma topologia ligeiramente diferente - eu tentaria um adaptador ethernet USB diretamente conectado à VM ou, melhor ainda, dividindo o sistema de coleta de dados, fazendo uma conexão Ethernet ponto a ponto em sua própria sub-rede para que o XP caixa é contactável, mas não na internet. Resumindo, mantenha a caixa XP em sua pequena rede.

Seria bom se você pudesse encontrar um firewall estilo linux que deixasse qualquer coisa fora de IPs específicos - então você poderia simplesmente descartar qualquer pacote, em qualquer lugar, que não fosse da VM.

    
por 05.01.2016 / 01:36
2

A resposta curta é que, embora não seja possível proteger totalmente este sistema, você pode praticamente protegê-lo a um nível tão bom ou melhor que um PC de uso geral que executa antivírus, antimalware e atualizações regulares do Windows - se você limita sua funcionalidade o suficiente.

Existem riscos (na verdade, desconhecidos), mas esses riscos são muito pequenos, desde que você tenha um firewall decente e só permita que solicitações sejam iniciadas a partir dele (em oposição à execução de qualquer tipo de servidor acessível mundo). / p>

Você provavelmente deve quebrar os cenários de ataque em 3 tipos -

  1. Script Kiddies / asshats gerais na Internet que apenas veem todos como um alvo.

  2. Alguém atacando de dentro da sua rede (seja um colega de trabalho ou alguém assim, OU ALGUÉM sistema QUEM foi comprometido).

  3. Pessoas com o desejo de lançar um ataque direcionado a você.

Você pode - e neste caso provavelmente deve isolar esta máquina do resto da rede colocando esta máquina (e somente esta máquina) atrás de um firewall dedicado (roteador nat sem portas abertas) ou sua própria interface em um firewall - o que praticamente elimina o problema 1, transformando o problema em um tipo 1 ou 3.

Para lidar com o grupo (1) com bastante facilidade, não permitindo que eles tenham acesso ao seu sistema. Se você fizer qualquer coisa que possa cair para a engenharia social / conteúdo não controlado, você não pode proteger este sistema - com isso quero dizer coisas como navegar na web com um navegador da web de propósito geral. Se você é capaz de limitar os mecanismos usados para interagir com a Internet a partir deste sistema E / CONTROLAR SANITIZAR A ENTRADA você deve estar OK -

[No que diz respeito à limitação de entrada, os dados simplesmente percorrendo a máquina são uma área cinza - você estará, na maioria das vezes, OK porque seu sistema está apenas encaminhando os pacotes, não está - ou não deveria estar interagindo com eles - a menos que uma exploração no nível de redirecionamento de roteamento / pacote seja encontrada - e isso seria muito difícil de criar e muito raro]

Com relação a (3) = Advanced Persistent Attack, não importa se a caixa está rodando o Windows ou qualquer outra coisa - mais cedo ou mais tarde ela cairá. Quanto tempo leva depende de quão vigilante você é e quais recursos o atacante pode comandar (mas pense sobre isso, alguém com autoridade suficiente provavelmente poderia invadir e fisicamente roubar o hardware, então este provavelmente não é um ataque que você precisa se preocupar muito sobre)

Outro par de pensamentos para jogar lá - Tenha bons backups - assim, se algo der errado, seu risco é limitado. (E tê-lo em uma rede separada para o resto do seu sistema mitiga o dano que ele pode fazer se for comprometido)

    
por 05.01.2016 / 01:48

Tags

Fazer backups do sistema, girando a remoção de um disco de um sistema RAID 1 de 3 discos Pode gigabit ethernet A autonegociação detecta o cabo Cat5 e faz o downgrade do modo automaticamente?