Komputery z systemem Windows XP w sieci firmowej

36

W naszej małej firmie korzystamy z około 75 komputerów. Serwery i komputery stacjonarne / laptopy są aktualne i są zabezpieczone za pomocą Panda Business Endpoint Protection i Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit).

Jednak w naszym środowisku produkcyjnym działa około 15 komputerów z systemem Windows XP. Są podłączone do sieci firmowej. Głównie do połączeń SQL i celów logowania. Mają ograniczony dostęp do zapisu do serwerów.

Komputery z systemem Windows XP są używane tylko do jednej dedykowanej (niestandardowej) aplikacji produkcyjnej. Brak oprogramowania biurowego (e-mail, przeglądanie, biuro, ...). Ponadto każdy z tych komputerów XP-PC ma kontrolę dostępu do sieci Panda, która nie pozwala na dostęp do Internetu. Jedynymi wyjątkami są aktualizacje systemu Windows i Panda.

Czy z punktu widzenia bezpieczeństwa konieczne jest zastąpienie komputerów z systemem Windows XP nowymi komputerami?

security windows-xp Thomas VDB
źródło
3
Czy maszyny XP mają jakieś połączenie ze światem zewnętrznym? Czy świat zewnętrzny ma jakieś powiązania? Jeśli wszystkie są „ściśle” wewnętrzne ... w mojej firmie, mamy maszyny XP, które są „odłączone” od świata zewnętrznego (niektóre faktycznie nie są z niczym połączone) i mają „zastrzeżone” oprogramowanie, które współdziała z maszynami, które nie mogą łatwo zastąpić ... Zastąpienie ich to inne pytanie niż powiedzenie ... wymiana serwera WWW.
WernerCD
10
@Nav Jeśli jedyni dostawcy całej klasy sprzętu obsługują tylko okna, to oczywiście muszą korzystać z okien. Jeśli ten sprzęt działa przez dziesięciolecia, musi korzystać z systemu Windows XP lub 98. Lub DOS. Jeśli koszt zmiany wszystkich starszych systemów i przekwalifikowania użytkownika jest ogromny, robią to w praktyce.
Chris H
21
@Nav To niezwykle elitarna postawa. Przejście ogromnej większości pracowników na inny system operacyjny jest dużym kosztem i obciążeniem. Mówienie, że Linux jest „znacznie lepszy i bezpieczniejszy”, jest naiwne. Jak w ogóle mierzysz „lepiej”? Gdyby Linux miał penetrację, którą ma system Windows, istniałoby tyle samo exploitów i ryzyka dla Linuksa. I jest wiele dzikich exploitów skierowanych na Linuksa - czy już zapomnieliśmy o sercach? Różne systemy operacyjne mają różne zalety i wady dla każdego odbiorcy, dlatego należy podejmować decyzje w tym kontekście.
Mark Henderson
3
@Nav Windows w biurze to platforma dla MS Office. A MS Office jest wciąż niezastąpiony w wielu przypadkach pomimo 20 lat naiwności w społeczności open source :)
rackandboneman
3
@ KhajakVahanyan Tylko w tym roku jądro Linuksa ma najbardziej wyraźne (publiczne) luki w zabezpieczeniach, prawie czterokrotnie w stosunku do Windows 2008.
Martheen

Odpowiedzi:

64

czy z punktu widzenia bezpieczeństwa konieczne jest zastąpienie tych komputerów XP-PC nowymi komputerami PC?

Nie, wymiana komputerów nie jest konieczna. Ale to jest konieczne w celu modernizacji tych systemów operacyjnych (ta może również obejmować zastąpienie tych komputerów - nie wiemy, ale jeśli są one uruchomione specjalistycznego sprzętu, to może być możliwe, aby utrzymać komputer.).

Jest tak wiele prawdziwych historii o zainfekowanych komputerach, które rzekomo mają „szczelinę powietrzną”. Może się to zdarzyć niezależnie od systemu operacyjnego, ale posiadanie bardzo starego, nieaktualnego systemu operacyjnego jeszcze bardziej zwiększa ryzyko.

Zwłaszcza, że ​​wygląda na to, że twoje komputery są chronione przez ograniczenie oprogramowania blokujące dostęp do Internetu. Jest to prawdopodobnie łatwe do ominięcia. (zastrzeżenie: nigdy nie słyszałem o tej kontroli dostępu do sieci Panda, ale z pewnością wygląda jak oprogramowanie na hoście).

Problemem, z którym najprawdopodobniej będziesz musiał się zmierzyć, jest brak współpracy z dostawcą. Możliwe jest, że dostawcy odmówią pomocy, chcą pobrać 100 000 USD za aktualizację lub bankrutują i IP zostaje odrzucone.

W takim przypadku firma musi przeznaczyć na to budżet.

Jeśli naprawdę nie ma innej opcji, jak tylko utrzymać 16-letni system operacyjny w stanie niezałatowanym (być może jest to tokarka CNC lub frezarka za milion dolarów lub MRI), musisz wykonać poważną izolację hosta opartą na sprzęcie. Dobrym początkiem byłoby umieszczenie tych maszyn we własnym vlan z wyjątkowo restrykcyjnymi regułami zapory.

Wydaje się, że w tym względzie potrzebujesz trzymania się za ręce, więc jak to wygląda:

  • Windows XP to 16-letni system operacyjny. Szesnaście lat . Niech to zatoną. Pomyślałem dwa razy, zanim kupiłem szesnastoletni samochód, a oni nadal produkują części zamienne do 16-letnich samochodów. W systemie Windows XP nie ma „części zamiennych”.

  • Po dźwiękach masz słabą izolację hosta. Powiedzmy, że coś już dostaje się do Twojej sieci. W inny sposób. Ktoś podłącza zainfekowaną pamięć USB. Będzie skanować wewnętrzną sieć i rozprzestrzeniać się na wszystko, co ma lukę, którą może wykorzystać. Brak dostępu do Internetu nie ma tu znaczenia, ponieważ rozmowa telefoniczna przychodzi z domu

  • Ten produkt zabezpieczający Panda wygląda na ograniczenia oparte na oprogramowaniu. Oprogramowanie można ominąć, czasem łatwo. Założę się, że przyzwoite szkodliwe oprogramowanie nadal mogłoby dostać się do Internetu, jeśli jedyną rzeczą, która go powstrzymuje, jest oprogramowanie działające na szczycie stosu sieciowego. Może po prostu uzyskać uprawnienia administratora i zatrzymać oprogramowanie lub usługę. Więc tak naprawdę wcale nie mają dostępu do Internetu. Powraca to do izolacji hosta - przy odpowiedniej izolacji hosta możesz faktycznie usunąć je z Internetu i być może ograniczyć szkody, jakie mogą wyrządzić twojej sieci.

Szczerze mówiąc jednak, nie należy trzeba uzasadnić zastąpienie tych komputerów i / lub systemu operacyjnego. Będą one w pełni amortyzowane dla celów księgowych, prawdopodobnie minęły już wszelkie okresy gwarancji lub wsparcia ze strony dostawcy sprzętu, zdecydowanie minęły jakiekolwiek wsparcie ze strony Microsoft (nawet jeśli machasz tytanową kartą American Express w twarz Microsoft, nadal nie wezmą twoich pieniędzy).

Każda firma zainteresowana zmniejszeniem ryzyka i odpowiedzialności zastąpiłaby te maszyny wiele lat temu. Nie ma usprawiedliwienia dla utrzymywania stacji roboczych w pobliżu. Wymieniłem kilka ważnych wymówek powyżej (jeśli jest całkowicie odłączony od dowolnej sieci i żyje w szafie i uruchamia muzykę z windy, mogę - MOCNO - dać mu przepustkę). Wygląda na to, że nie masz żadnej usprawiedliwionej wymówki. Zwłaszcza teraz, gdy zdajesz sobie sprawę, że one tam są i widziałeś szkody, które mogą wystąpić (zakładam, że pisałeś to w odpowiedzi na WannaCry / WannaCrypt).

Mark Henderson
źródło
1
Cześć, będę musiał wyjaśnić, dlaczego konieczna jest wymiana starych komputerów XP-PC, mimo że nie mają one dostępu do Internetu. Czy można więc podać (pół) techniczne wyjaśnienie, jakie sytuacje mogą wystąpić. Fakt, że kontrola dostępu do sieci oparta jest na oprogramowaniu, jest zdecydowanie początkiem. btw to link do internetowej kontroli dostępu Panda: pandasecurity.com/usa/support/card?id=50074
Thomas VDB
2
@ThomasVDB Dodałem aktualizację do mojej odpowiedzi
Mark Henderson
19

Zastąpienie może być przesadą. Skonfiguruj bramę. Maszyna bramy nie powinna uruchamiać systemu Windows; Linux jest prawdopodobnie najlepszym wyborem. Bramka powinna mieć dwie oddzielne karty sieciowe. Maszyny z Windows XP będą w jednej sieci z jednej strony, reszta świata będzie z drugiej strony. Linux nie kieruje ruchu.

Zainstaluj Sambę i udostępnij udziały maszynom XP, na których można pisać. Skopiuj przychodzące pliki do ostatecznego miejsca docelowego. rsyncbyłby logicznym wyborem.

Używając iptables, blokuj wszystkie porty oprócz tych używanych dla Samby. Blokuj wychodzące połączenia Samby po stronie, która ma maszyny XP (aby nic nie mogło zapisywać na komputerach XP) i ** wszystkie * połączenia przychodzące po drugiej stronie (aby nic nie mogło pisać na maszynę Linux) - być może za pomocą jednego zakodowany na stałe wyjątek dla SSH, ale tylko z adresu IP komputera zarządzającego.

Hakowanie komputerów XP wymaga teraz włamania się do serwera Linux pomiędzy nimi, co pozytywnie odrzuca wszystkie połączenia przychodzące od strony innej niż XP. Jest to tak zwana głęboka obrona . Chociaż możliwe jest, że nadal istnieje jakaś pechowa kombinacja błędów, która pozwoliłaby zdeterminowanemu i kompetentnemu hakerowi ominąć to, mówisz o hakerze, który specjalnie próbuje zhakować 15 komputerów XP w twojej sieci. Botnety, wirusy i robaki zazwyczaj mogą ominąć tylko jedną lub dwie typowe luki i rzadko mogą działać w wielu systemach operacyjnych.

MSalters
źródło
3
To może zadziałać. PFSense lub monowall by tu działały, nie? Komputery powinny nadal móc łączyć się z naszym serwerem SQL.
Thomas VDB
4
Tak, lub zamiast maszyny bramowej po prostu kupujesz mały, ale sprawny router (Mikrotik) lub jak 40 USD. Zakończony. Zużywa znacznie mniej energii.
TomTom
-1, ponieważ nie rozwiąże to problemów PO.
James Snell
6
@JamesSnell: To nie jest pomocny komentarz. Dlaczego to nie pomoże? Jakie konkretne zagrożenie bezpieczeństwa możesz nazwać, pomijając tę ​​konfigurację?
MSalters
3
@ThomasVDB: Punktem bramy, na którym działają iptables i Samba, jest to, że pakiety IP są odrzucane (nie SMB) lub obsługiwane przez sprawną, nowoczesną implementację. Oznacza to, że komputery XP będą otrzymywać tylko pakiety IP generowane przez Sambę na komputerze z systemem Linux. Te nie są zniekształcone. Router, jak sugeruje TomTom, będzie przekazywał pakiety IP, ale router nie wie o protokole SMB i przesyła złe pakiety, takie jak te, które wywołały WannaCry. Tak, brak kontroli jest bardziej energooszczędny, ale bezpieczeństwo powinno być tutaj głównym priorytetem.
MSalters
13

Wiadomości z tego weekendu dotyczące WannaCry powinny dać do wyjaśnienia ponad wszelką wątpliwość, że absolutnie konieczna jest wymiana Windows XP i podobnych systemów tam, gdzie to możliwe.

Nawet jeśli MS wydało niezwykłą łatkę dla tego starożytnego systemu operacyjnego, nie ma żadnej gwarancji, że to się powtórzy.

Sven
źródło
2
Tak, ale czy te wirusy nie przedostają się do firmy przez e-mail i przeglądanie Internetu? Czy nie obejmuje to fakt, że te komputery nie mają dostępu do Internetu? Jestem pewien, że komputery XP nie są bezpieczne, gdy są używane do aplikacji stacjonarnych. Ale kiedy działa tylko jedna aplikacja bez dostępu do Internetu, musi być inna sytuacja? Lub czego mi brakuje?
Thomas VDB
2
Ale są podłączone do serwera SQL. Co się stanie, jeśli następnym razem zostanie zainfekowane innym złośliwym oprogramowaniem i wykorzysta potencjalną dziurę w implementacji klienta serwera SQL? Dopóki istnieje połączenie z innymi systemami, istnieje potencjalne niebezpieczeństwo.
Sven
13
@ThomasVDB: WannaCry ma dwa sposoby na rozpowszechnianie się. Załączniki e-mail są jednym, ale drugą metodą było udostępnianie plików. W szczególności udziały plików przy użyciu starszego protokołu SMBv1. Microsoft wydał łaty specjalnie dla tego problemu już w marcu 2017 r. Jednak ponieważ XP był wtedy nieobsługiwany, Microsoft początkowo nie wydał wersji XP tej poprawki SMBv1. Odwrócili tę decyzję teraz, gdy WannaCry uderzył, ale tylko w przypadku tego konkretnego problemu.
MSalters
7
Yes, but don't these viruses enter the company by email and browsing the web? Is this not covered by the fact that these PC's have no internet access?- „Nie zamykam okien w sypialni, ponieważ znajdują się na drugim piętrze, a na zewnątrz nie ma drabiny” to uzasadnienie, które nigdy nie powstrzymało włamywacza przed włamaniem do domu. Jeśli te maszyny leżą w zakresie twoich obowiązków i odpowiedzialności, musisz je załatać, niezależnie od tego, jakie według ciebie jest prawdopodobieństwo, że zostaną naruszone.
joeqwerty
To powstrzyma włamywacza, który ma wiele domów z otwartymi oknami na parterze. Zdecydowany atakujący (niezadowolony technicznie niezadowolony pracownik lub szpieg korporacyjny) kontra atakujący oportunistyczny (złośliwe oprogramowanie, wandale, konstruktorzy botnetów).
rackandboneman
5

Używamy niektórych maszyn z systemem Windows XP do specyficznego (starszego) oprogramowania, staraliśmy się przenieść jak najwięcej na maszyny wirtualne za pomocą Oracle VirtualBox (bezpłatnie) i zalecam, abyś zrobił to samo.

Daje to kilka korzyści;

Numer 1 dla Ciebie polega na tym, że możesz bardzo ściśle kontrolować dostęp do sieci maszyny wirtualnej z zewnątrz (bez instalowania czegokolwiek w systemie Windows XP) i czerpiesz korzyści z ochrony nowszego systemu operacyjnego komputera hosta i dowolnego oprogramowania zabezpieczającego na nim uruchomionego.

Oznacza to również, że możesz przenosić maszynę wirtualną między różnymi fizycznymi maszynami / systemami operacyjnymi, gdy zdarzają się aktualizacje lub awarie sprzętu, łatwo wykonaj kopię zapasową, w tym możliwość zapisania migawki stanu „znanego dobrego działania” przed zastosowaniem jakichkolwiek aktualizacji / zmian.

Używamy jednej maszyny wirtualnej na aplikację, aby utrzymać super segregację. Dopóki nie zmienisz identyfikatora UUID dysku rozruchowego, instalacja systemu Windows XP nie ma nic przeciwko.

Podejście to oznacza, że ​​możemy rozruszać maszynę wirtualną dla danego zadania, które wymaga minimalnej instalacji systemu Windows XP i wymaganego jednego oprogramowania, bez dodatkowego kruszenia i żadnego problemu. Ograniczanie dostępu do sieci urządzenia znacznie zmniejsza podatność na zagrożenia i zapobiega zaskoczeniu przez system Windows XP wszelkimi aktualizacjami, które mogą zepsuć się lub pogorszyć.

John U
źródło
Może to powodować problemy, jeśli niestandardowe oprogramowanie służy do napędzania niestandardowego sprzętu :) W pozostałych przypadkach maszyny wirtualne i migawki umożliwiają w razie potrzeby naprawdę „brudną” strategię: uruchom do zhakowania, przywróć z migawki, spłucz, powtórz :) Wykonaj na pewno nic innego nie trafi :)
rackandboneman
To prawda, ale w dzisiejszych czasach maszyny wirtualne są w większości zaskakująco dobre, a fakt, że można je uruchomić na maszynie hosta, która jest 10 razy bardziej wydajna, pomaga. Jeśli specjalne oprogramowanie robi coś szczególnie podatnego na zagrożenia, nie masz zbyt wielu opcji, ale, jak mówisz, przynajmniej jest to po prostu sklonowana maszyna wirtualna, która zostaje zhakowana i możesz ją nuke'ować i łatwo zacząć od nowa.
John U
Myślałem o „prowadzeniu nieparzystych kart ISA, takich jak interfejsy GPIO, DAC / ADC lub IEEE-488” :) Jeden z klasycznych powodów, dla których warto mieć starożytne środowiska OS.
rackandboneman
Cóż, tak, choć obecnie jesteś tylko Raspberry Pi lub Arduino z dala od powielania lub łączenia tego rodzaju rzeczy.
John U
3

Jak ktoś sugerował wcześniej, zastanów się nad wzmocnieniem izolacji w stosunku do reszty sieci.

Poleganie na oprogramowaniu maszynowym jest słabe (ponieważ opiera się na stosie sieciowym systemu operacyjnego, który sam może być podatny). Dedykowana podsieć byłaby dobrym początkiem, a lepiej rozwiązaniem opartym na sieci VLAN (może to być wyłapana przez zdeterminowanego atakującego, ale powstrzyma większość ataków „przestępstw związanych z szansą”, ale sterowniki NIC muszą to wspierać). Dedykowana sieć fizyczna (za pośrednictwem dedykowanego przełącznika lub sieci VLAN opartej na portach) jest najlepsza.

rackandboneman
źródło
-5

Tak, należy je wymienić. Każdy, kto korzysta z maszyn z systemem Windows XP podłączonych do dowolnego rodzaju sieci po WannaCry, prosi tylko o problemy.

Erlando
źródło
7
-1, to nie dodaje niczego, co nie jest powiedziane lepiej w innych odpowiedziach.
HopelessN00b