회사 네트워크의 Windows XP PC

36

소기업에서는 약 75 대의 PC를 사용하고 있습니다. 서버 및 데스크탑 / 노트북은 모두 최신 상태이며 Panda Business Endpoint Protection 및 Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit)를 사용하여 보호 됩니다.

그러나 프로덕션 환경에는 약 15 개의 Windows XP PC가 실행 중입니다. 그들은 회사 네트워크에 연결되어 있습니다. 주로 SQL 연결 및 로깅 목적으로 사용됩니다. 서버에 대한 쓰기 액세스가 제한되어 있습니다.

Windows XP PC는 하나의 전용 (사용자 지정) 프로덕션 응용 프로그램에만 사용됩니다. 사무용 소프트웨어가 없습니다 (이메일, 브라우징, 사무실 등). 또한 이러한 각 XP-PC에는 인터넷 액세스를 허용하지 않는 Panda 웹 액세스 제어 기능이 있습니다. Windows 및 Panda Updates는 예외입니다.

보안 관점에서 이러한 Windows XP PC를 새 PC로 교체해야합니까?

security windows-xp

— 토마스 VDB
소스

3

XP 시스템이 외부와 연결되어 있습니까? 아니면 외부 세계에 어떤 관계가 있습니까? 내 비즈니스에서 모두 "엄격하게"내부 인 경우 외부 세계에서 "연결이 끊긴"XP 시스템 (일부는 실제로는 어떤 것에도 연결되지 않음)이 있고 "독점적 인"소프트웨어가있는 쉽게 교체 ... 웹 서버를 교체하는 것과는 다른 질문으로 교체하는 것이 다른 질문입니다.

— WernerCD

10

@Nav 전체 하드웨어 클래스의 유일한 공급 업체가 창만 지원한다면 물론 창을 사용해야합니다. 해당 하드웨어가 수십 년 지속되면 Windows XP 또는 98을 사용해야합니다. 또는 DOS. 모든 레거시 시스템을 전환하고 사용자를 재교육하는 데 드는 비용이 엄청 나면 실제로 적용됩니다.

— Chris H

21

@Nav 그것은 엄청나게 엘리트 한 태도입니다. 대다수의 직원을 다른 운영 체제로 전환하는 것은 큰 비용과 부담입니다. 그리고 리눅스가 "훨씬 더 좋고 안전하다"고 말하는 것은 순진합니다. "더 나은"측정 방법은 무엇입니까? 만약 리눅스가 Windows와 같은 침투성을 가지고 있다면, Linux에 대한 많은 악용과 위험이있을 것입니다. 그리고 리눅스를 겨냥한 수많은 악용 사례가 있습니다. 벌써 잊어 버린 적이 있습니까? 운영 체제마다 사용자마다 장단점이 다르므로 해당 상황에서 결정을 내려야합니다.

— Mark Henderson

3

사무실의 @Nav Windows는 종종 MS Office를위한 플랫폼입니다. 그리고 MS Office는 오픈 소스 커뮤니티에서 20 년의 순진함에도 불구하고 여전히 많은 경우에 대체 할 수 없습니다 :)

— rackandboneman

3

@KhajakVahanyan 올해 만해도 Linux 커널 은 Windows 2008의 거의 4 배인 가장 뚜렷한 (공개) 취약점을 가지고 있습니다.

— Martheen

64

이러한 XP-PC를 새로운 PC로 교체하려면 보안 관점에서 필요합니다.

아니요, PC를 교체 할 필요는 없습니다. 그러나 이다 그 운영 체제를 업그레이드 할 필요가 (이 수 또한 그 PC를 교체 포함 - 우리가 모르는 그러나 전문 하드웨어를 실행하는 경우, 다음은 PC를 유지하는 것이 가능할 수있다.).

있습니다 많은 가정 "에어 갭"PC는 감염에 대한 실제 이야기. 운영 체제에 관계없이 발생할 수 있지만 업데이트되지 않은 오래된 오래된 운영 체제를 사용하면 훨씬 더 위험에 노출됩니다.

특히 컴퓨터가 인터넷 액세스를 차단 하는 소프트웨어 제한에 의해 보호되는 것처럼 들립니다 . 우회하기 쉽습니다. (캐비티 :이 팬더 웹 액세스 제어에 대해 들어 본 적이 없지만 확실히 호스트 소프트웨어처럼 보입니다 .)

직면하게 될 문제는 공급 업체 협력 부족입니다. 공급 업체가 도움을 거부하거나 업그레이드를 위해 10 만 달러를 청구하거나 파산하여 IP가 완전히 폐기 될 수 있습니다.

이 경우 회사가 예산을 세울 필요가 있습니다.

16 살짜리 운영 체제를 패치되지 않은 상태로 유지하는 것 외에는 선택의 여지가 없다면 (백만 달러의 CNC 선반 또는 밀링 머신 또는 MRI 일 수 있음), 하드웨어 기반의 호스트 격리를 수행해야합니다. 매우 제한적인 방화벽 규칙을 사용하여 해당 머신을 자체 VLAN에 배치하는 것이 좋습니다.

이와 관련하여 약간의 손 잡기가 필요한 것으로 보이므로 어떻게됩니까?

Windows XP는 16 년 된 운영 체제입니다. 열 여섯 살 . 나는 16 살짜리 차를 사기 전에 두 번 생각하고 16 살짜리 차를위한 예비 부품을 만든다. Windows XP에는 '예비 부품'이 없습니다.
그 소리에 따르면 호스트 격리가 좋지 않습니다. 이미 네트워크 내부에 무언가가 들어 있다고 가정 해 봅시다. 다른 수단으로. 누군가 감염된 USB 스틱을 꽂습니다. 내부 네트워크를 스캔하여 악용 될 수있는 취약점으로 전파됩니다. 집안 에서 전화가 걸려 오기 때문에 인터넷 연결이 부족한 것은 여기와 관련이 없습니다.
이 Panda 보안 제품은 소프트웨어 기반 제한 사항처럼 보입니다. 때로는 쉽게 소프트웨어를 우회 할 수 있습니다. 괜찮은 멀웨어 조각이 인터넷 스택에서 실행될 수있는 유일한 소프트웨어 인 경우 인터넷에 접속할 수 있다고 생각합니다. 관리자 권한을 얻어 소프트웨어 나 서비스를 중지 할 수 있습니다. 그래서 그들은 실제로 인터넷에 접속할 수 없습니다. 이것은 호스트 격리로 돌아옵니다. 적절한 호스트 격리를 사용하면 실제로 인터넷에서 연결을 끊을 수 있으며 네트워크에 대한 피해를 제한 할 수 있습니다.

그러나 이러한 컴퓨터 및 / 또는 운영 체제를 교체하는 것을 정당화 할 필요 는 없습니다 . 그들은 회계 목적으로 완전히 감가 상각되며 하드웨어 공급 업체의 보증 또는 지원 종료일을 훨씬 지났을 것입니다 .Microsoft의 지원을 확실히 받고 있습니다. 그들은 여전히 당신의 돈을받지 않을 것입니다).

위험과 책임을 줄이는 데 관심이있는 회사는 몇 년 전에 해당 기계를 대체했을 것입니다. 워크 스테이션을 유지할 이유가 거의 없습니다. 위의 유효한 변명을 모두 나열 했습니다 (모든 네트워크에서 완전히 연결이 끊어지고 옷장에 살고 엘리베이터 음악을 실행하면-패스 할 수 있습니다). 당신이 그들을 떠날 수있는 유효한 변명이없는 것 같습니다. 특히 지금 당신은 그들이 있다는 것을 알고 있으며, 발생할 수있는 피해를 보았습니다 (WannaCry / WannaCrypt에 대한 답변으로 이것을 작성했다고 가정합니다).

— 마크 헨더슨
소스

1

안녕하세요. 인터넷에 연결되어 있지 않더라도 이전 XP-PC를 교체해야하는 이유를 설명해야합니다. 따라서 어떤 상황이 발생할 수 있는지 (반) 기술적 설명을 해줄 수 있습니까? 웹 액세스 제어가 소프트웨어 기반이라는 사실은 분명히 시작입니다. btw 이것은 Panda 웹 액세스 제어에 대한 링크입니다. pandasecurity.com/usa/support/card?id=50074

— Thomas VDB

2

@ThomasVDB 내 답변에 업데이트를 추가했습니다

— Mark Henderson

19

교체가 과도 할 수 있습니다. 게이트웨이를 설정하십시오. 게이트웨이 시스템은 Windows를 실행 하지 않아야 합니다. 아마도 리눅스가 최선의 선택 일 것입니다. 게이트웨이 시스템에는 두 개의 별도 네트워크 카드가 있어야합니다. Windows XP 컴퓨터는 한쪽 네트워크에 있고 나머지는 다른 쪽 네트워크에 있습니다. Linux는 트래픽을 라우팅하지 않습니다.

Samba를 설치하고 XP 시스템이 공유하도록 공유하십시오. 수신 파일을 최종 목적지로 복사하십시오. rsync논리적 선택이 될 것입니다.

를 사용하여 iptablesSamba에 사용 된 포트를 제외한 모든 포트를 차단하십시오. XP 시스템 (XP 시스템에 쓸 수 없음)이있는 쪽의 아웃 바운드 Samba 연결을 차단하고 다른쪽에 ** all * 인바운드 연결 (아무 것도 Linux 시스템에 쓸 수 없음)을 단일 블록으로 차단하십시오. SSH의 경우 하드 코딩 된 예외이지만 관리 PC의 IP에서만 가능합니다.

XP 시스템을 해킹하려면 이제 사이에 Linux 서버를 해킹해야하므로 XP 이외의 측면에서 들어오는 모든 연결을 적극적으로 거부합니다. 이것이 심층 방어 라고 알려진 것 입니다. 결정적이고 지식이 풍부한 해커가이를 우회 할 수있는 불운 한 버그 조합이 여전히 존재할 수 있지만, 특히 네트워크에서 15 대의 XP 시스템을 해킹하려는 해커에 대해 이야기하고있을 것입니다. 봇넷, 바이러스 및 웜은 일반적으로 하나 또는 두 개의 일반적인 취약점 만 우회 할 수 있으며 여러 운영 체제에서 거의 작동하지 않습니다.

— MSalters
소스

3

작동 할 수도 있습니다. PFSense 또는 monowall은 여기서 작동합니다. PC는 여전히 SQL Server에 연결할 수 있어야합니다.

— 토마스 VDB

4

예, 또는 게이트웨이 머신 대신 작지만 유능한 라우터 (Mikrotik) 또는 미화 40 달러를 구매하면됩니다. 훨씬 적은 전력을 사용합니다.

— TomTom

OP의 문제를 해결하지 못하기 때문에 -1입니다.

— 제임스 스넬

6

@JamesSnell : 유용한 의견이 아닙니다. 왜 도움이되지 않습니까? 이 설정을 우회하는 구체적인 보안 위협은 무엇입니까?

— MSalters

3

@ThomasVDB : iptables 및 Samba를 실행하는 게이트웨이의 요점은 IP 패킷이 삭제되거나 (SMB 아님) 현대적이고 유능한 구현에 의해 처리된다는 것입니다. 이는 XP 시스템이 Linux 시스템에서 Samba가 생성 한 IP 패킷 만 수신함을 의미합니다. 이들은 잘못된 것으로 알려져 있습니다. TomTom이 제안한대로 라우터는 IP 패킷을 전달하지만 라우터는 SMB 프로토콜을 알지 못하고 WannaCry를 트리거 한 패킷과 같은 불량 패킷을 전달합니다. 예, 검사는 에너지 효율이 높지 않지만 보안이 최우선 순위입니다.

— MSalters

13

이번 주말 WannaCry에 관한 뉴스는 의심 할 여지없이 Windows XP 및 유사한 시스템을 가능한 한 교체해야한다는 점을 분명히 보여주었습니다.

MS가이 고대 OS를위한 특별한 패치를 발표하더라도 이것이 다시 일어날 것이라는 보장은 없습니다.

— 스벤
소스

2

예, 그러나 이러한 바이러스가 이메일과 웹 브라우징을 통해 회사에 유입되지 않습니까? 이 PC에 인터넷이 연결되어 있지 않다는 사실이 여기에 포함되지 않습니까? 데스크탑 응용 프로그램에 사용될 때 XP PC가 안전하지 않다고 확신합니다. 그러나 인터넷에 액세스하지 않고 하나의 앱만 실행할 때 다른 상황이어야합니까? 아니면 내가 무엇을 놓치고 있습니까?

— 토마스 VDB

2

그러나 이들은 SQL 서버에 연결되어 있습니다. 다음에 다른 맬웨어에 감염되어 SQL Server 클라이언트 구현에 잠재적 인 허점을 사용하면 어떻게됩니까? 다른 시스템에 연결되어 있으면 잠재적 인 위험이 있습니다.

— Sven

13

@ThomasVDB : WannaCry에는 두 가지 방법으로 배포 할 수 있습니다. 이메일 첨부 파일은 하나이지만 파일 공유를 통한 두 번째 방법입니다. 특히, 이전 SMBv1 프로토콜을 사용하는 파일 공유 . Microsoft는 2017 년 3 월에이 문제를 해결하기 위해 특별히 패치를 릴리스했습니다. 그러나 XP가 지원되지 않았기 때문에 Microsoft는 처음에 해당 SMBv1 패치의 XP 버전을 릴리스하지 않았습니다. 그들은 이제 WannaCry 가이 특정 문제에 대해서만 타격을 가했다는 결정을 취소했습니다 .

— MSalters

7

Yes, but don't these viruses enter the company by email and browsing the web? Is this not covered by the fact that these PC's have no internet access?

- "침실 창문이 2 층에 있고 외부에 사다리가 없기 때문에 침실 창문을 잠그지 않습니다" 는 한 번도 도둑이 집을 도둑질하는 것을 막지 않은 정당화입니다. 이러한 시스템이 사용자의 책임과 책임에 속한다면 가능성이 손상되었다고 생각하는 것과 상관없이 시스템을 패치해야합니다.

— joeqwerty

지면 수준의 창문이 열려있는 집이 많은 도둑을 막을 수 있습니다. 결정적인 공격자 (기술적으로 숙련 된 불만이있는 직원 또는 회사 스파이) vs 기회 주의적 공격자 (악성 코드, 파괴자, 봇넷 빌더).

— rackandboneman

5

특정 (레거시) 소프트웨어에 일부 Windows XP 시스템을 사용하고 Oracle VirtualBox (무료)를 사용하여 가상 시스템으로 최대한 많이 이동하려고 시도했으며 동일한 작업을 수행하는 것이 좋습니다.

여러 가지 이점이 있습니다.

번호 1은 외부에서 (Windows XP에 아무 것도 설치하지 않고) VM 네트워크 액세스를 매우 엄격하게 제어 할 수 있으며 호스트 시스템의 최신 OS 및 실행되는 모든 보안 소프트웨어의 보호를받는 것입니다.

또한 업그레이드 또는 하드웨어 오류가 발생할 때 VM을 다른 물리적 시스템 / 운영 체제간에 이동할 수 있으며 업데이트 / 변경 사항을 적용하기 전에 "알려진 정상 작동"상태의 스냅 샷을 저장할 수있는 등 쉽게 백업 할 수 있습니다.

애플리케이션 당 하나의 VM을 사용하여 사물을 완전히 분리합니다. 부팅 드라이브 UUID를 올바르게 유지하는 한 Windows XP 설치는 문제가되지 않습니다.

이 접근 방식은 최소한의 Windows XP 설치와 필요한 소프트웨어가 하나만있는 특정 작업에 대해 VM을 스핀 업할 수 있다는 것을 의미합니다. 컴퓨터의 네트워크 액세스를 제한하면 취약점이 크게 줄어들고 Windows XP가 업데이트를 통해 놀라게하거나 방해 할 수 있습니다.

— 존 U
소스

이것은 커스텀 소프트웨어가 커스텀 하드웨어를 구동하기 위해 문제가 될 수 있습니다. 그럼에도 불구하고 어떤 것도 맞지 않는다 :)

— rackandboneman

사실 요즘 VM은 놀랍게도 훌륭하며 10 배나 강력한 호스트 시스템에서 VM을 실행할 수 있습니다. 특수 소프트웨어가 특히 취약한 작업을 수행하는 경우 많은 옵션이 없지만 적어도 말하면 해킹당하는 복제 된 VM 일뿐이며 핵을 피우고 쉽게 시작할 수 있습니다.

— John U

"GPIO, DAC / ADC 또는 IEEE-488 인터페이스와 같은 홀수 볼 ISA 카드를 운전하는 것"을 생각하고있었습니다.

— rackandboneman

글쎄요, 요즘 당신은 그런 종류의 복제 또는 인터페이스에서 멀리 떨어진 라즈베리 파이 또는 Arduino에 불과합니다.

— John U

3

누군가가 이전에 제안했듯이 나머지 네트워크에 대한 격리를 강화하는 것을 고려하십시오.

온 머신 소프트웨어에 의존하는 것은 약합니다 (자체 취약한 OS 네트워크 스택에 의존하기 때문에). 전용 서브넷은 시작이 좋고 VLAN 기반 솔루션이 더 좋습니다 (결정된 공격자가 활용할 수는 있지만 대부분의 "기후 범죄"공격이 중단됩니다. NIC 드라이버는이를 지원해야합니다). 전용 스위치 또는 포트 기반 VLAN을 통한 전용 물리적 네트워크가 가장 좋습니다.

— rackandboneman
소스

-5

예, 교체해야합니다. 워너 크라이 (WannaCry) 이후의 모든 종류의 네트워크에 연결된 Windows XP 시스템을 운영하는 사람이라면 누구나 문제를 묻는 것입니다.

— 에를란도
소스

7

-1, 이것은 다른 답변에서 더 잘 언급되지 않은 것을 추가하지 않습니다.

— HopelessN00b