2

У меня есть сценарий, в котором мне нужно продолжить работу на ПК с Windows XP, хотя XP давно не поддерживается Microsoft.

ПК будет подключен к моей сети, но только для того, чтобы виртуальная машина Linux могла выходить в интернет через сетевое соединение ПК. Ничто другое на ПК никогда не коснется Интернета.

Какие риски безопасности я могу подвергнуть здесь? Я всегда думал, что нужно зайти на хитрый веб-сайт или запустить / открыть вредоносный файл, чтобы случилось что-то плохое. Это не может произойти на этом ПК (а виртуальная машина использует мостовую сеть, что означает, что ее трафик хорошо изолирован).

  1. Можно ли использовать ПК с Windows XP, просто подключившись к сети, без участия пользователя?

  2. Если существуют риски, какие практические шаги можно предпринять, чтобы смягчить их, сохранив физическую конфигурацию и функциональность как есть?

Баунти открыт

Огромное количество людей должно оказаться в аналогичном положении, когда им нужно выставить устаревший ПК с XP (или VM в этом отношении) в сеть. Вот почему я предлагаю 500 баллов, в надежде, что мы получим солидный ответ.

Downvoters: не стесняйтесь оставлять комментарии. Я могу улучшить вопрос, но только если я знаю, что с ним не так.

|источник

2 ответа2

4

"Угрозы безопасности" здесь довольно широки - большая проблема здесь в том, что XP не поддерживается, и если есть какая-то новая угроза, нацеленная на многие компьютеры XP, все еще находящиеся в дикой природе, она не будет исправлена Таким образом, если бы я перечислял проблемы безопасности конкретно, это был бы растущий список. Windows XP является статической целью с динамически растущими угрозами

Конечно, у меня был старый XP-ПК, который использовался, когда он был новой, блестящей, потрясающей ОС, и использовался заносом для хранения warez, так что ... это, безусловно, возможно через несколько лет.

Давайте посмотрим на случайный длинный список уязвимостей, которые я нашел в интернете

Реализация протокола удаленного диспетчера учетных записей безопасности (SAMR) в Microsoft Windows XP SP2 и SP3, Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 и R2 SP1, а также в Windows Server 2012 Gold и R2 неправильно определяет блокировку пользователя состояние, облегчающее удаленным злоумышленникам обход политики блокировки учетных записей и получение доступа с помощью атаки методом перебора, также известной как «уязвимость SAMR, связанная с обходом функции безопасности».

Так... Да, это не только ты. По существу, любая уязвимость, обнаруженная в XP, остается открытой, и MS ее не исправляет. Не все уязвимости зависят от прямой глупости пользователя. Любая система, видимая через Интернет, будет выкована, подтолкнута и протестирована. Возможно, NAT вас затеняет, но плохие парни тоже об этом узнают

Забавно, что это единственный случай, когда XP-ПК имеет смысл.

В теории вы можете уменьшить это в значительную степень с очень и очень строгими правилами брандмауэра, отключить все не-необходимые услуги и поддержание системы постной. Специально отключите все, что позволяет удаленный доступ любого рода, удаленный вход и т.д.

Я бы рассмотрел немного другую топологию - я бы попробовал USB-адаптер Ethernet, напрямую подключенный к виртуальной машине или, что еще лучше, отделив систему сбора данных, выполнив двухточечное соединение Ethernet в собственной подсети, чтобы можно было связаться с XP но не в интернете. Короче говоря, держите коробку XP в своей маленькой сети.

Было бы неплохо, если бы вы могли найти брандмауэр в стиле Linux, который бы отбрасывал что-либо за пределами определенных IP-адресов - тогда вы могли бы просто отбрасывать любые пакеты в любом месте, которые не принадлежат виртуальной машине.

|источник
2

Короткий ответ заключается в том, что, хотя вы не можете полностью защитить эту систему, вы можете практически защитить ее на таком же хорошем или лучшем уровне, что и ПК общего назначения, на котором установлены антивирус, антивирусное ПО и регулярные обновления Windows - если вы ограничите ее функциональности достаточно.

Есть риски (на самом деле неизвестные), но эти риски довольно малы, если вы используете их за приличным брандмауэром и разрешаете только инициировать запросы от него (в отличие от запуска любого вида сервера, доступного в мире).

Вероятно, вам следует разбить сценарии атаки на 3 вида:

  1. Скрипт Детишки / общие задницы в интернете, которые просто видят всех как цель.

  2. Кто-то атакует из вашей сети (либо сотрудник, либо кто-то в этом роде, либо кто-то, чья система была взломана).

  3. Люди с желанием начать целенаправленную атаку на вас.

Вы можете - и в этом случае, вероятно, следует изолировать эту машину от остальной части сети, поместив эту машину (и только эту машину) за выделенный брандмауэр (nat router без открытых портов) или собственный интерфейс на брандмауэре - что дешево в значительной степени устраняет проблему 1, превращая проблему в тип 1 или 3.

Для обработки группы (1) достаточно легко, не позволяя им получить доступ к вашей системе. Если вы делаете что-то, что может относиться к социальной инженерии / неконтролируемому контенту, вы не можете защитить эту систему - я имею в виду такие вещи, как просмотр веб-страниц с помощью веб-браузера общего назначения. Если вы можете ограничить механизмы, используемые для взаимодействия с Интернетом, с помощью этих систем И / КОНТРОЛИРОВАТЬ САНИТИЗАЦИЮ ВВОДА, вы должны быть в порядке -

[Что касается ограничения ввода, то данные, попадающие на компьютер, представляют собой «серую область» - по большей части вы будете в порядке, потому что ваша система просто пересылает пакеты, а не - или не должна фактически взаимодействовать с ними - если только не используется эксплойт на уровне маршрутизации / пересылки пакетов - и это было бы довольно сложно создать и довольно редко]

Что касается (3) = Advanced Persistent Attack, действительно не имеет значения, работает ли на компьютере Windows или что-то еще - рано или поздно он упадет. Сколько времени это займет, зависит от того, насколько вы бдительны и какими ресурсами может командовать злоумышленник (но подумайте об этом, кто-то с достаточными полномочиями может, вероятно, взломать и физически украсть оборудование, так что это, вероятно, не атака, вам нужно слишком беспокоиться около)

Еще пара мыслей, которые стоит добавить - если у вас есть хорошие резервные копии - таким образом, если что-то пойдет не так, ваш риск ограничен. (И наличие его в отдельной сети для остальной части вашей системы уменьшает ущерб, который он может нанести, если он будет скомпрометирован)

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .