3 votes

misha256 avatar

Windows XP sur un réseau, préoccupations en matière de sécurité?

Demandé el 2 de Janvier, 2016
Quand la question a-t-elle été
2104 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai un scénario où j'ai besoin de continuer à utiliser un PC Windows XP même si XP n'est plus pris en charge par Microsoft depuis longtemps.

Le PC sera connecté à mon réseau, mais uniquement dans le but de permettre à une machine virtuelle Linux d'accéder à Internet via la connexion réseau du PC. Rien d'autre sur le PC n'aura jamais accès à Internet.

Quels types de risques de sécurité pourrais-je rencontrer ici? J'ai toujours pensé qu'il fallait naviguer sur un site Web douteux ou exécuter/ouvrir un fichier malveillant pour subir des dommages. Cela ne peut pas se produire sur ce PC (et la machine virtuelle utilise un réseau en pont qui isole bien son trafic).

  1. Un PC Windows XP peut-il être exploité simplement en étant connecté à un réseau, sans interaction de l'utilisateur?

  2. S'il y a des risques, quelles mesures pratiques peuvent être prises pour les atténuer tout en maintenant la configuration physique et les fonctionnalités telles qu'elles sont?

Une récompense est offerte

Un nombre énorme de personnes doivent se trouver dans une situation similaire, où ils ont besoin d'exposer un PC XP hérité (ou une machine virtuelle) à un réseau. C'est pourquoi j'offre 500 points, dans l'espoir d'obtenir une réponse solide.

Personnes qui votent négativement : N'hésitez pas à laisser un commentaire. Je peux améliorer la question, mais seulement si je sais ce qui ne va pas avec elle.

Demandé el 2 de Janvier, 2016 par misha256

Réponses

Trop de publicités?

4voto

Chochos avatar
Chochos Points 3364

"Les risques de sécurité" ici sont assez larges - le gros problème ici est que XP n'est pas pris en charge, et s'il y a une nouvelle menace ciblant les nombreux PC XP encore en circulation cela ne sera pas corrigé.. En tant que tel, si je répertoriais spécifiquement les problèmes de sécurité, ce serait une liste croissante. Windows XP est une cible statique avec des menaces en constante évolution

Bien sûr, j'ai eu un vieux PC XP exploité quand c'était le nouvel OS génial et utilisé par un skiddie pour stocker des warez donc... il est certainement possible que plusieurs années se soient écoulées.

Jetons un coup d'œil à une longue liste aléatoire de vulnérabilités que j'ai trouvée sur Internet

La mise en œuvre du protocole de gestion des comptes de sécurité à distance (SAMR) dans Microsoft Windows XP SP2 et SP3, Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 et R2 SP1, et Windows Server 2012 Gold et R2 ne détermine pas correctement l'état de verrouillage de l'utilisateur, ce qui facilite aux attaquants distants contourner la politique de verrouillage des comptes et obtenir l'accès via une attaque par force brute, alias "Vulnérabilité de contournement de la fonction de sécurité SAMR".

Donc... Oui, ce n'est pas que toi. Fondamentalement, toute vulnérabilité trouvée dans XP reste ouverte et MS ne la corrige pas. Toutes les vulnérabilités ne reposent pas sur la stupidité directe de l'utilisateur. Tout système visible sur Internet sera sondé, examiné et testé. NAT pourrait vous obscurcir, peut-être mais les méchants le sauraient aussi

De manière amusante, c'est le seul cas où le PC XP a du sens.

Théoriquement, vous pouvez atténuer cela dans une large mesure avec des règles de pare-feu très strictes, en désactivant tout service non nécessaire et en gardant le système léger. Désactivez spécifiquement tout ce qui permet l'accès distant de tout type, les connexions à distance, etc.

Je considérerais une topologie légèrement différente - j'essayerais un adaptateur USB Ethernet directement connecté à la VM ou mieux encore, en séparant le système de collecte de données, en faisant une connexion Ethernet point à point sur son propre sous-réseau afin que le PC XP soit joignable mais pas sur Internet. En bref, gardez le PC XP sur son propre petit réseau.

Il serait bien si vous pouviez trouver un pare-feu de style linux qui filtrerait tout ce qui n'est pas en provenance de certaines adresses IP spécifiques - alors vous pourriez simplement bloquer tous les paquets, n'importe où, qui ne proviennent pas de la VM.

Répondu el 5 de Janvier, 2016 par Chochos (3364 Points )

2voto

porto alet avatar
porto alet Points 315

La réponse courte est que bien que vous ne puissiez pas protéger totalement ce système, vous pouvez le protéger pratiquement à un niveau aussi bon, voire meilleur, qu'un ordinateur généraliste exécutant un antivirus, un antimalware et des mises à jour régulières de Windows - si vous limitez suffisamment sa fonctionnalité.

Il y a des risques (principalement de l'inconnu), mais ces risques sont assez faibles à condition que vous le placiez derrière un pare-feu décent et que vous n'autorisiez que les demandes à être initiées à partir de celui-ci (plutôt que d'exécuter un quelconque serveur accessible mondialement).

Vous devriez probablement diviser les scénarios d'attaque en 3 types -

  1. Script Kiddies / abrutis généraux sur Internet qui voient tout le monde comme une cible.

  2. Quelqu'un attaquant depuis l'intérieur de votre réseau (soit un collègue ou quelqu'un comme ça, OU QUELQU'UN DONT le système a été compromis).

  3. Personnes ayant le désir de lancer une attaque ciblée contre vous.

Vous pouvez - et dans ce cas devriez probablement isoler cette machine du reste du réseau en plaçant cette machine (et seulement cette machine) derrière un pare-feu dédié (routeur nat sans ports ouverts) ou sa propre interface sur un pare-feu - ce qui élimine essentiellement le problème 1 en le transformant en un type 1 ou 3.

Pour gérer le groupe (1) assez facilement en ne leur permettant pas d'accéder à votre système. Si vous faites quelque chose qui peut être victime d'une ingénierie sociale / d'un contenu non contrôlé, vous ne pouvez pas sécuriser ce système - je veux dire des choses comme naviguer sur le web avec un navigateur web général. Si vous êtes capable de limiter les mécanismes utilisés pour interagir avec Internet à partir de ces systèmes et / contrôler la saisie de manière sure, vous devriez être en sécurité -

[En ce qui concerne la limitation de la saisie, les données simplement traversant la machine constituent une zone grise - vous devriez pour la plupart être en sécurité car votre système se contente de transférer les paquets, il ne - ou ne devrait pas réellement interagir avec eux - à moins qu'une faille au niveau de l'acheminement des paquets ne soit trouvée - et celles-ci seraient assez difficiles à créer et assez rares]

En ce qui concerne (3) = Attaque Persistante Avancée, cela n'a vraiment pas d'importance si la boîte exécute Windows ou autre chose - tôt ou tard, elle tombera. Le temps que cela prend dépend de votre vigilance et des ressources que l'attaquant peut mobiliser (mais réfléchissez-y, quelqu'un avec suffisamment d'autorité pourrait probablement entrer et voler physiquement le matériel, donc ce n'est probablement pas une attaque à laquelle vous devez trop vous soucier)

D'autres idées à ajouter - Faites de bonnes sauvegardes - de cette façon, si quelque chose se passe mal, votre risque est limité. (Et le fait de le placer sur un réseau séparé du reste de votre système atténue les dommages qu'il peut causer s'il est compromis)

Répondu el 5 de Janvier, 2016 par porto alet (315 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X