PC con Windows XP en la red de la empresa

36

En nuestra pequeña empresa, estamos utilizando alrededor de 75 PC. Los servidores y equipos de escritorio / portátiles están actualizados y están protegidos con Panda Business Endpoint Protection y Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit).

Sin embargo, en nuestro entorno de producción tenemos unas 15 PC con Windows XP en ejecución. Están conectados a la red de la empresa. Principalmente para conectividad SQL y fines de registro. Tienen acceso de escritura limitado a los servidores.

Las PC con Windows XP solo se usan para una aplicación de producción dedicada (personalizada). Sin software de oficina (correo electrónico, navegación, oficina, ...). Además, cada una de estas PC XP tiene un control de acceso web Panda que no permite el acceso a Internet. Las únicas excepciones son para las actualizaciones de Windows y Panda.

¿Es necesario, desde el punto de vista de la seguridad, reemplazar estas PC con Windows XP por otras nuevas?

Thomas VDB
fuente
3
¿Las máquinas XP tienen alguna conexión con el mundo exterior? ¿O el mundo exterior tiene alguna conexión dentro? Si todos son "estrictamente" internos ... en mi negocio, tenemos máquinas XP que están "desconectadas" del mundo exterior (algunas en realidad no están conectadas a nada) y tenemos un software "patentado" que interactúa con maquinaria que no puede ser reemplazado fácilmente ... Reemplazarlos es una pregunta diferente a decir ... reemplazar un servidor web.
WernerCD
10
@Nav Si los únicos proveedores de una clase completa de hardware solo admiten ventanas, entonces, por supuesto, tienen que usar ventanas. Si ese hardware dura décadas, tienen que usar Windows XP o 98. O DOS. Si el costo de cambiar todos sus sistemas heredados y volver a capacitar a los usuarios es enorme, entonces lo hacen en la práctica.
Chris H
21
@Nav es una actitud increíblemente elitista. Cambiar la gran mayoría de los empleados a un sistema operativo diferente es un gran costo y una gran carga. Y decir que Linux es "mucho mejor y más seguro" es ingenuo. ¿Cómo se mide "mejor"? Si Linux tuviera la penetración que tiene Windows, habría tantos exploits y riesgos para Linux. Y hay muchas hazañas en la naturaleza que están dirigidas a Linux: ¿ya nos hemos olvidado de Heartbleed? Los diferentes sistemas operativos tienen diferentes ventajas y desventajas para cada audiencia, y las decisiones deben tomarse en ese contexto.
Mark Henderson
3
@Nav Windows en una oficina es una plataforma para MS Office a menudo. Y MS Office sigue siendo insustituible en muchos casos a pesar de los 20 años de ingenuidad al respecto en la comunidad de código abierto :)
rackandboneman
3
@KhajakVahanyan Solo en este año, el kernel de Linux tiene las vulnerabilidades (públicas) más distintas, casi cuatro veces de Windows 2008.
Martheen

Respuestas:

64

¿Es necesario, desde el punto de vista de la seguridad, reemplazar estas XP-PC con PC nuevas?

No, no es necesario reemplazar las PC. Pero es necesario actualizar esos sistemas operativos (esto también puede implicar reemplazar esas PC, no lo sabemos. Pero si están ejecutando hardware especializado, entonces es posible mantener la PC).

Hay tantas historias del mundo real sobre PC supuestamente "sin aire" infectadas. Esto puede suceder independientemente de su sistema operativo, pero tener un sistema operativo súper antiguo no actualizado lo hace aún más en riesgo.

Especialmente porque parece que sus computadoras están protegidas por una restricción de software para bloquear el acceso a Internet. Es probable que esto sea fácil de evitar. (Advertencia: nunca he oído hablar de este control de acceso web de Panda, pero ciertamente parece un software en el host).

El problema que probablemente enfrentará es la falta de cooperación del proveedor. Es posible que los proveedores se nieguen a ayudar, que quieran cobrar $ 100,000 por una actualización, o que simplemente se declaren en bancarrota y se descarte la IP.

Si este es el caso, es algo que la empresa necesita presupuestar.

Si realmente no hay otra opción que mantener un sistema operativo de 16 años sin parches (tal vez sea un torno CNC de un millón de dólares, una fresadora o una MRI), entonces debe hacer un aislamiento serio del host basado en hardware. Poner esas máquinas en su propio vlan con reglas de firewall extremadamente restrictivas sería un buen comienzo.


Parece que necesita algo de mano a este respecto, entonces, ¿cómo es esto?

  • Windows XP es un sistema operativo de 16 años. Dieciséis años de edad . Deje que eso se hunda. Lo pensaría dos veces antes de comprar un automóvil de dieciséis años, y todavía hacen repuestos para automóviles de 16 años. No hay 'repuestos' para Windows XP.

  • Por lo que parece, tiene un pobre aislamiento del host. Digamos que ya hay algo dentro de su red. Por algún otro medio. Alguien conecta una memoria USB infectada. Escaneará su red interior y se propagará a cualquier cosa que tenga una vulnerabilidad que pueda explotar. La falta de acceso a Internet es irrelevante aquí porque la llamada telefónica proviene del interior de la casa

  • Parece que este producto de seguridad de Panda es restricciones basadas en software. El software se puede omitir, a veces fácilmente. Apuesto a que una pieza decente de malware aún podría salir a Internet si lo único que lo detiene es una pieza de software que se ejecuta en la parte superior de la pila de redes. Simplemente podría obtener privilegios de administrador y detener el software o servicio. Por lo tanto, realmente no tienen acceso a Internet en absoluto. Esto vuelve al aislamiento del host: con el aislamiento adecuado del host, realmente podría sacarlos de Internet y tal vez limitar el daño que pueden causar a su red.

Honestamente, sin embargo, no debería necesitar justificar el reemplazo de estas computadoras y / o sistema operativo. Se depreciarán por completo para fines contables, es probable que hayan pasado el final de cualquier garantía o soporte del proveedor de hardware, definitivamente han pasado cualquier tipo de soporte de Microsoft (incluso si agita su titanium American Express en la cara de Microsoft, ellos todavía no tomarán tu dinero).

Cualquier empresa que esté interesada en reducir el riesgo y la responsabilidad habría reemplazado esas máquinas hace años. Hay poca o ninguna excusa para mantener las estaciones de trabajo. Enumeré algunas excusas válidas arriba (si está totalmente desconectado por completo de todas y cada una de las redes y vive en un armario y ejecuta la música del ascensor, podría - PODRÍA - darle un pase). Parece que no tienes ninguna excusa válida para dejarlos. Especialmente ahora que eres consciente de que están allí y has visto el daño que puede ocurrir (supongo que estabas escribiendo esto en respuesta a WannaCry / WannaCrypt).

Mark Henderson
fuente
1
Hola, tendré que explicar por qué es necesario reemplazar estas viejas PC XP, a pesar de que no tienen acceso a Internet. Entonces, ¿es posible darme algunas explicaciones (semi) técnicas sobre las situaciones que podrían ocurrir? El hecho de que el control de acceso web esté basado en software es definitivamente un comienzo. por cierto, este es un enlace al control de acceso web de Panda: pandasecurity.com/usa/support/card?id=50074
Thomas VDB
2
@ThomasVDB He agregado una actualización a mi respuesta
Mark Henderson
19

El reemplazo puede ser excesivo. Configurar una puerta de enlace. La máquina de puerta de enlace no debe ejecutar Windows; Linux es probablemente la mejor opción. La máquina de puerta de enlace debe tener dos tarjetas de red separadas. Las máquinas con Windows XP estarán en una red en un lado, el resto del mundo está en el otro lado. Linux no enrutará el tráfico.

Instale Samba y haga compartimientos para que las máquinas XP escriban. Copie los archivos entrantes hacia el destino final. rsyncSería la elección lógica.

Utilizando iptables, bloquee todos los puertos excepto los utilizados para Samba. Bloquee las conexiones de salida Samba en el lado que tiene máquinas XP (para que nada pueda escribir en las máquinas XP) y ** todas * las conexiones entrantes en el otro lado (para que nada pueda escribir en la máquina Linux), tal vez con un solo excepción codificada para SSH, pero solo desde la IP de su PC de administración.

Para hackear las máquinas XP ahora es necesario hackear un servidor Linux en el medio, lo que rechaza positivamente todas las conexiones que vienen desde el lado que no es XP. Esto es lo que se conoce como defensa en profundidad . Si bien es posible que todavía exista una combinación desafortunada de errores que permita a un hacker determinado y conocedor evitar esto, estaría hablando de un hacker que está tratando específicamente de hackear esas 15 máquinas XP en su red. Las botnets, virus y gusanos generalmente pueden pasar por alto una o dos vulnerabilidades comunes, y rara vez pueden funcionar en múltiples sistemas operativos.

MSalters
fuente
3
Aquello podría funcionar. PFSense o monowall funcionarían aquí, ¿no? Las PC aún deberían poder conectarse a nuestro SQL Server.
Thomas VDB
44
Sí, o en lugar de una máquina de puerta de enlace, simplemente compra un enrutador pequeño pero capaz (Mikrotik) o le gusta USD 40. Terminó. Utiliza mucho menos energía.
TomTom
-1 porque esto no resolverá los problemas del OP.
James Snell
66
@JamesSnell: Ese no es un comentario útil. ¿Por qué no ayuda? ¿Qué amenaza de seguridad concreta puede nombrar que omita esta configuración?
MSalters
3
@ThomasVDB: El objetivo de una puerta de enlace que ejecuta iptables y Samba es que los paquetes IP se descartan (no SMB) o se manejan mediante una implementación moderna y capaz. Esto significa que las máquinas XP solo recibirán paquetes IP generados por Samba en la máquina Linux. Se sabe que no están malformados. Un enrutador, como sugiere TomTom, reenviará los paquetes IP, pero un enrutador no conoce el protocolo SMB y reenviará los paquetes defectuosos como los que activaron WannaCry. Sí, no verificar es más eficiente energéticamente, pero la seguridad debería ser la principal prioridad aquí.
MSalters
13

Las noticias de este fin de semana sobre WannaCry deberían haber dejado claro, sin ninguna duda, que es absolutamente necesario reemplazar Windows XP y sistemas similares siempre que sea posible.

Incluso si MS lanzó un parche extraordinario para este antiguo sistema operativo, no hay ninguna garantía de que esto vuelva a suceder.

Sven
fuente
2
Sí, pero ¿estas vírgenes no ingresan a la empresa por correo electrónico y navegan por la web? ¿No está cubierto por el hecho de que estas PC no tienen acceso a Internet? Estoy seguro de que las PC XP no son seguras cuando se usan para aplicaciones de escritorio. Pero cuando se ejecuta una sola aplicación sin acceso a Internet, ¿debe ser una situación diferente? ¿O qué me estoy perdiendo?
Thomas VDB
2
Pero están conectados a un servidor SQL. ¿Qué sucede si se infecta con otro malware la próxima vez y utiliza un agujero potencial en la implementación del cliente del servidor SQL? Mientras haya alguna conexión con otros sistemas, existe un peligro potencial.
Sven
13
@ThomasVDB: WannaCry tiene dos formas de distribuirse. Los archivos adjuntos de correo electrónico son uno, pero un segundo método fue a través de archivos compartidos. En particular, los archivos compartidos que utilizan el antiguo protocolo SMBv1. Microsoft había lanzado parches específicamente para ese problema en marzo de 2017. Sin embargo, como XP estaba fuera de soporte, Microsoft inicialmente no lanzó una versión XP de ese parche SMBv1. Revocaron esa decisión ahora que WannaCry ha golpeado, pero solo por este problema específico.
MSalters
77
Yes, but don't these viruses enter the company by email and browsing the web? Is this not covered by the fact that these PC's have no internet access?- "No cierro las ventanas de mi habitación porque están en el segundo piso y no hay una escalera afuera" es una justificación que nunca impidió que un ladrón robara una casa. Si estas máquinas son de su competencia y responsabilidad, entonces debe parchearlas, independientemente de lo que crea que es probable que se vean comprometidas.
joeqwerty
Eso detendrá a un ladrón que tiene muchas casas con ventanas abiertas a nivel del suelo disponibles. Atacante determinado (espía corporativo o empleado descontento técnicamente calificado) contra atacante oportunista (malware, vándalos, creadores de botnets).
rackandboneman
5

Utilizamos algunas máquinas con Windows XP para software específico (heredado), hemos intentado movernos lo más posible a máquinas virtuales usando Oracle VirtualBox (gratis), y le recomiendo que considere hacer lo mismo.

Esto le da varios beneficios;

El número 1 para usted es que puede controlar el acceso a la red de la VM desde el exterior (sin instalar nada dentro de Windows XP), y se beneficia de la protección del sistema operativo más nuevo de la máquina host y de cualquier software de seguridad que se ejecute en él.

También significa que puede mover la VM a través de diferentes máquinas físicas / sistemas operativos a medida que ocurren actualizaciones o fallas de hardware, hacer una copia de seguridad fácilmente, incluyendo la posibilidad de guardar una instantánea del estado de "buen funcionamiento conocido" antes de aplicar cualquier actualización / cambio.

Usamos una VM por aplicación para mantener las cosas súper segregadas. Mientras mantenga el UUID de la unidad de arranque correcto, la instalación de Windows XP no le importa.

Este enfoque significa que podemos activar una VM para una tarea determinada que tenga una instalación mínima de Windows XP y la única pieza de software requerida, sin ningún tipo de cruft adicional agregado y sin nada que lo haga tropezar. Acelerar el acceso a la red de la máquina reduce en gran medida la vulnerabilidad y evita que Windows XP lo sorprenda con cualquier actualización que pueda romper las cosas o peor.

John U
fuente
Esto puede darle problemas si el software personalizado está ahí para controlar el hardware personalizado :) En cualquier otro caso, las máquinas virtuales y las instantáneas le permiten una estrategia realmente "sucia" si es necesario: ejecutar hasta que sea pirateado, restaurar desde la instantánea, enjuagar, repetir :) seguro que nada más es golpeado :)
rackandboneman
Es cierto, pero en estos días las máquinas virtuales son sorprendentemente buenas en la mayor parte de eso, y el hecho de que pueda ejecutarlo en una máquina host que es 10 veces más potente ayuda. Si el software especial está haciendo algo especialmente vulnerable, entonces no tienes muchas opciones, pero como dices, al menos es solo una máquina virtual clonada que es pirateada y puedes atacarla y comenzar desde cero fácilmente.
John U
Estaba pensando "manejar tarjetas ISA extrañas como las interfaces GPIO, DAC / ADC o IEEE-488" :) Una de las razones clásicas para tener entornos de SO antiguos.
rackandboneman
Bueno, sí, aunque en estos días solo eres un Raspberry Pi o Arduino lejos de replicar o interactuar con ese tipo de cosas.
John U
3

Como alguien sugirió anteriormente, considere fortalecer el aislamiento hacia el resto de la red.

Confiar en el software en la máquina es débil (porque se basa en la pila de red del sistema operativo que puede ser vulnerable). Una subred dedicada sería un buen comienzo y una solución basada en VLAN mejor (esto puede ser aprovechado por un atacante determinado, pero detendrá la mayoría de los ataques de "delitos de oportunidad" muertos. Sin embargo, los controladores de NIC deben admitir esto). Lo mejor es una red física dedicada (a través de un conmutador dedicado o una VLAN basada en puerto).

rackandboneman
fuente
-5

Sí, necesitan ser reemplazados. Cualquier persona que ejecute máquinas con Windows XP conectadas a cualquier tipo de red después de WannaCry solo está buscando problemas.

Erlando
fuente
77
-1, esto no agrega nada que no se dice mejor en otras respuestas.
HopelessN00b