PC con Windows XP en la red de la empresa

En nuestra pequeña empresa, estamos utilizando alrededor de 75 PC. Los servidores y equipos de escritorio / portátiles están actualizados y están protegidos con Panda Business Endpoint Protection y Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit).

Sin embargo, en nuestro entorno de producción tenemos unas 15 PC con Windows XP en ejecución. Están conectados a la red de la empresa. Principalmente para conectividad SQL y fines de registro. Tienen acceso de escritura limitado a los servidores.

Las PC con Windows XP solo se usan para una aplicación de producción dedicada (personalizada). Sin software de oficina (correo electrónico, navegación, oficina, ...). Además, cada una de estas PC XP tiene un control de acceso web Panda que no permite el acceso a Internet. Las únicas excepciones son para las actualizaciones de Windows y Panda.

¿Es necesario, desde el punto de vista de la seguridad, reemplazar estas PC con Windows XP por otras nuevas?

¿Es necesario, desde el punto de vista de la seguridad, reemplazar estas XP-PC con PC nuevas?

No, no es necesario reemplazar las PC. Pero es necesario actualizar esos sistemas operativos (esto también puede implicar reemplazar esas PC, no lo sabemos. Pero si están ejecutando hardware especializado, entonces es posible mantener la PC).

Hay tantas historias del mundo real sobre PC supuestamente "sin aire" infectadas. Esto puede suceder independientemente de su sistema operativo, pero tener un sistema operativo súper antiguo no actualizado lo hace aún más en riesgo.

Especialmente porque parece que sus computadoras están protegidas por una restricción de software para bloquear el acceso a Internet. Es probable que esto sea fácil de evitar. (Advertencia: nunca he oído hablar de este control de acceso web de Panda, pero ciertamente parece un software en el host).

El problema que probablemente enfrentará es la falta de cooperación del proveedor. Es posible que los proveedores se nieguen a ayudar, que quieran cobrar $ 100,000 por una actualización, o que simplemente se declaren en bancarrota y se descarte la IP.

Si este es el caso, es algo que la empresa necesita presupuestar.

Si realmente no hay otra opción que mantener un sistema operativo de 16 años sin parches (tal vez sea un torno CNC de un millón de dólares, una fresadora o una MRI), entonces debe hacer un aislamiento serio del host basado en hardware. Poner esas máquinas en su propio vlan con reglas de firewall extremadamente restrictivas sería un buen comienzo.

Parece que necesita algo de mano a este respecto, entonces, ¿cómo es esto?

• Windows XP es un sistema operativo de 16 años. Dieciséis años de edad . Deje que eso se hunda. Lo pensaría dos veces antes de comprar un automóvil de dieciséis años, y todavía hacen repuestos para automóviles de 16 años. No hay 'repuestos' para Windows XP.

• Por lo que parece, tiene un pobre aislamiento del host. Digamos que ya hay algo dentro de su red. Por algún otro medio. Alguien conecta una memoria USB infectada. Escaneará su red interior y se propagará a cualquier cosa que tenga una vulnerabilidad que pueda explotar. La falta de acceso a Internet es irrelevante aquí porque la llamada telefónica proviene del interior de la casa

• Parece que este producto de seguridad de Panda es restricciones basadas en software. El software se puede omitir, a veces fácilmente. Apuesto a que una pieza decente de malware aún podría salir a Internet si lo único que lo detiene es una pieza de software que se ejecuta en la parte superior de la pila de redes. Simplemente podría obtener privilegios de administrador y detener el software o servicio. Por lo tanto, realmente no tienen acceso a Internet en absoluto. Esto vuelve al aislamiento del host: con el aislamiento adecuado del host, realmente podría sacarlos de Internet y tal vez limitar el daño que pueden causar a su red.

Honestamente, sin embargo, no debería necesitar justificar el reemplazo de estas computadoras y / o sistema operativo. Se depreciarán por completo para fines contables, es probable que hayan pasado el final de cualquier garantía o soporte del proveedor de hardware, definitivamente han pasado cualquier tipo de soporte de Microsoft (incluso si agita su titanium American Express en la cara de Microsoft, ellos todavía no tomarán tu dinero).

Cualquier empresa que esté interesada en reducir el riesgo y la responsabilidad habría reemplazado esas máquinas hace años. Hay poca o ninguna excusa para mantener las estaciones de trabajo. Enumeré algunas excusas válidas arriba (si está totalmente desconectado por completo de todas y cada una de las redes y vive en un armario y ejecuta la música del ascensor, podría - PODRÍA - darle un pase). Parece que no tienes ninguna excusa válida para dejarlos. Especialmente ahora que eres consciente de que están allí y has visto el daño que puede ocurrir (supongo que estabas escribiendo esto en respuesta a WannaCry / WannaCrypt).

El reemplazo puede ser excesivo. Configurar una puerta de enlace. La máquina de puerta de enlace no debe ejecutar Windows; Linux es probablemente la mejor opción. La máquina de puerta de enlace debe tener dos tarjetas de red separadas. Las máquinas con Windows XP estarán en una red en un lado, el resto del mundo está en el otro lado. Linux no enrutará el tráfico.

Instale Samba y haga compartimientos para que las máquinas XP escriban. Copie los archivos entrantes hacia el destino final. rsyncSería la elección lógica.

Utilizando iptables, bloquee todos los puertos excepto los utilizados para Samba. Bloquee las conexiones de salida Samba en el lado que tiene máquinas XP (para que nada pueda escribir en las máquinas XP) y ** todas * las conexiones entrantes en el otro lado (para que nada pueda escribir en la máquina Linux), tal vez con un solo excepción codificada para SSH, pero solo desde la IP de su PC de administración.

Para hackear las máquinas XP ahora es necesario hackear un servidor Linux en el medio, lo que rechaza positivamente todas las conexiones que vienen desde el lado que no es XP. Esto es lo que se conoce como defensa en profundidad . Si bien es posible que todavía exista una combinación desafortunada de errores que permita a un hacker determinado y conocedor evitar esto, estaría hablando de un hacker que está tratando específicamente de hackear esas 15 máquinas XP en su red. Las botnets, virus y gusanos generalmente pueden pasar por alto una o dos vulnerabilidades comunes, y rara vez pueden funcionar en múltiples sistemas operativos.

Las noticias de este fin de semana sobre WannaCry deberían haber dejado claro, sin ninguna duda, que es absolutamente necesario reemplazar Windows XP y sistemas similares siempre que sea posible.

Incluso si MS lanzó un parche extraordinario para este antiguo sistema operativo, no hay ninguna garantía de que esto vuelva a suceder.

Utilizamos algunas máquinas con Windows XP para software específico (heredado), hemos intentado movernos lo más posible a máquinas virtuales usando Oracle VirtualBox (gratis), y le recomiendo que considere hacer lo mismo.

Esto le da varios beneficios;

El número 1 para usted es que puede controlar el acceso a la red de la VM desde el exterior (sin instalar nada dentro de Windows XP), y se beneficia de la protección del sistema operativo más nuevo de la máquina host y de cualquier software de seguridad que se ejecute en él.

También significa que puede mover la VM a través de diferentes máquinas físicas / sistemas operativos a medida que ocurren actualizaciones o fallas de hardware, hacer una copia de seguridad fácilmente, incluyendo la posibilidad de guardar una instantánea del estado de "buen funcionamiento conocido" antes de aplicar cualquier actualización / cambio.

Usamos una VM por aplicación para mantener las cosas súper segregadas. Mientras mantenga el UUID de la unidad de arranque correcto, la instalación de Windows XP no le importa.

Este enfoque significa que podemos activar una VM para una tarea determinada que tenga una instalación mínima de Windows XP y la única pieza de software requerida, sin ningún tipo de cruft adicional agregado y sin nada que lo haga tropezar. Acelerar el acceso a la red de la máquina reduce en gran medida la vulnerabilidad y evita que Windows XP lo sorprenda con cualquier actualización que pueda romper las cosas o peor.

Como alguien sugirió anteriormente, considere fortalecer el aislamiento hacia el resto de la red.

Confiar en el software en la máquina es débil (porque se basa en la pila de red del sistema operativo que puede ser vulnerable). Una subred dedicada sería un buen comienzo y una solución basada en VLAN mejor (esto puede ser aprovechado por un atacante determinado, pero detendrá la mayoría de los ataques de "delitos de oportunidad" muertos. Sin embargo, los controladores de NIC deben admitir esto). Lo mejor es una red física dedicada (a través de un conmutador dedicado o una VLAN basada en puerto).

Sí, necesitan ser reemplazados. Cualquier persona que ejecute máquinas con Windows XP conectadas a cualquier tipo de red después de WannaCry solo está buscando problemas.