회사 네트워크의 Windows XP PC 서버 및 데스크탑 / 노트북은 모두 최신

소기업에서는 약 75 대의 PC를 사용하고 있습니다. 서버 및 데스크탑 / 노트북은 모두 최신 상태이며 Panda Business Endpoint Protection Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit)를 사용하여 보호 됩니다.

그러나 프로덕션 환경에는 약 15 개의 Windows XP PC가 실행 중입니다. 그들은 회사 네트워크에 연결되어 있습니다. 주로 SQL 연결 및 로깅 목적으로 사용됩니다. 서버에 대한 쓰기 액세스가 제한되어 있습니다.

Windows XP PC는 하나의 전용 (사용자 지정) 프로덕션 응용 프로그램에만 사용됩니다. 사무용 소프트웨어가 없습니다 (이메일, 브라우징, 사무실 등). 또한 이러한 각 XP-PC에는 인터넷 액세스를 허용하지 않는 Panda 웹 액세스 제어 기능이 있습니다. Windows 및 Panda Updates는 예외입니다.

보안 관점에서 이러한 Windows XP PC를 새 PC로 교체해야합니까?



답변

이러한 XP-PC를 새로운 PC로 교체하려면 보안 관점에서 필요합니다.

아니요, PC를 교체 할 필요는 없습니다. 그러나 이다 그 운영 체제를 업그레이드 할 필요가 (이 또한 그 PC를 교체 포함 – 우리가 모르는 그러나 전문 하드웨어를 실행하는 경우, 다음은 PC를 유지하는 것이 가능할 수있다.).

있습니다 많은 가정 “에어 갭”PC는 감염에 대한 실제 이야기. 운영 체제에 관계없이 발생할 수 있지만 업데이트되지 않은 오래된 오래된 운영 체제를 사용하면 훨씬 더 위험에 노출됩니다.

특히 컴퓨터가 인터넷 액세스를 차단 하는 소프트웨어 제한에 의해 보호되는 것처럼 들립니다 . 우회하기 쉽습니다. (캐비티 :이 팬더 웹 액세스 제어에 대해 들어 본 적이 없지만 확실히 호스트 소프트웨어처럼 보입니다 .)

직면하게 될 문제는 공급 업체 협력 부족입니다. 공급 업체가 도움을 거부하거나 업그레이드를 위해 10 만 달러를 청구하거나 파산하여 IP가 완전히 폐기 될 수 있습니다.

이 경우 회사가 예산을 세울 필요가 있습니다.

16 살짜리 운영 체제를 패치되지 않은 상태로 유지하는 것 외에는 선택의 여지가 없다면 (백만 달러의 CNC 선반 또는 밀링 머신 또는 MRI 일 수 있음), 하드웨어 기반의 호스트 격리를 수행해야합니다. 매우 제한적인 방화벽 규칙을 사용하여 해당 머신을 자체 VLAN에 배치하는 것이 좋습니다.


이와 관련하여 약간의 손 잡기가 필요한 것으로 보이므로 어떻게됩니까?

  • Windows XP는 16 년 된 운영 체제입니다. 열 여섯 살 . 나는 16 살짜리 차를 사기 전에 두 번 생각하고 16 살짜리 차를위한 예비 부품을 만든다. Windows XP에는 ‘예비 부품’이 없습니다.

  • 그 소리에 따르면 호스트 격리가 좋지 않습니다. 이미 네트워크 내부에 무언가가 들어 있다고 가정 해 봅시다. 다른 수단으로. 누군가 감염된 USB 스틱을 꽂습니다. 내부 네트워크를 스캔하여 악용 될 수있는 취약점으로 전파됩니다. 집안 에서 전화가 걸려 오기 때문에 인터넷 연결이 부족한 것은 여기와 관련이 없습니다.

  • 이 Panda 보안 제품은 소프트웨어 기반 제한 사항처럼 보입니다. 때로는 쉽게 소프트웨어를 우회 할 수 있습니다. 괜찮은 멀웨어 조각이 인터넷 스택에서 실행될 수있는 유일한 소프트웨어 인 경우 인터넷에 접속할 수 있다고 생각합니다. 관리자 권한을 얻어 소프트웨어 나 서비스를 중지 할 수 있습니다. 그래서 그들은 실제로 인터넷에 접속할 수 없습니다. 이것은 호스트 격리로 돌아옵니다. 적절한 호스트 격리를 사용하면 실제로 인터넷에서 연결을 끊을 수 있으며 네트워크에 대한 피해를 제한 할 수 있습니다.

그러나 이러한 컴퓨터 및 / 또는 운영 체제를 교체하는 것을 정당화 할 필요 는 없습니다 . 그들은 회계 목적으로 완전히 감가 상각되며 하드웨어 공급 업체의 보증 또는 지원 종료일을 훨씬 지났을 것입니다 .Microsoft의 지원을 확실히 받고 있습니다. 그들은 여전히 ​​당신의 돈을받지 않을 것입니다).

위험과 책임을 줄이는 데 관심이있는 회사는 몇 년 전에 해당 기계를 대체했을 것입니다. 워크 스테이션을 유지할 이유가 거의 없습니다. 위의 유효한 변명을 모두 나열 했습니다 (모든 네트워크에서 완전히 연결이 끊어지고 옷장에 살고 엘리베이터 음악을 실행하면-패스 할 수 있습니다). 당신이 그들을 떠날 수있는 유효한 변명이없는 것 같습니다. 특히 지금 당신은 그들이 있다는 것을 알고 있으며, 발생할 수있는 피해를 보았습니다 (WannaCry / WannaCrypt에 대한 답변으로 이것을 작성했다고 가정합니다).


답변

교체가 과도 할 수 있습니다. 게이트웨이를 설정하십시오. 게이트웨이 시스템은 Windows를 실행 하지 않아야 합니다. 아마도 리눅스가 최선의 선택 일 것입니다. 게이트웨이 시스템에는 두 개의 별도 네트워크 카드가 있어야합니다. Windows XP 컴퓨터는 한쪽 네트워크에 있고 나머지는 다른 쪽 네트워크에 있습니다. Linux는 트래픽을 라우팅하지 않습니다.

Samba를 설치하고 XP 시스템이 공유하도록 공유하십시오. 수신 파일을 최종 목적지로 복사하십시오. rsync논리적 선택이 될 것입니다.

를 사용하여 iptablesSamba에 사용 된 포트를 제외한 모든 포트를 차단하십시오. XP 시스템 (XP 시스템에 쓸 수 없음)이있는 쪽의 아웃 바운드 Samba 연결을 차단하고 다른쪽에 ** all * 인바운드 연결 (아무 것도 Linux 시스템에 쓸 수 없음)을 단일 블록으로 차단하십시오. SSH의 경우 하드 코딩 된 예외이지만 관리 PC의 IP에서만 가능합니다.

XP 시스템을 해킹하려면 이제 사이에 Linux 서버를 해킹해야하므로 XP 이외의 측면에서 들어오는 모든 연결을 적극적으로 거부합니다. 이것이 심층 방어 라고 알려진 것 입니다. 결정적이고 지식이 풍부한 해커가이를 우회 할 수있는 불운 한 버그 조합이 여전히 존재할 수 있지만, 특히 네트워크에서 15 대의 XP 시스템을 해킹하려는 해커에 대해 이야기하고있을 것입니다. 봇넷, 바이러스 및 웜은 일반적으로 하나 또는 두 개의 일반적인 취약점 만 우회 할 수 있으며 여러 운영 체제에서 거의 작동하지 않습니다.


답변

이번 주말 WannaCry에 관한 뉴스는 의심 할 여지없이 Windows XP 및 유사한 시스템을 가능한 한 교체해야한다는 점을 분명히 보여주었습니다.

MS가이 고대 OS를위한 특별한 패치를 발표하더라도 이것이 다시 일어날 것이라는 보장은 없습니다.


답변

특정 (레거시) 소프트웨어에 일부 Windows XP 시스템을 사용하고 Oracle VirtualBox (무료)를 사용하여 가상 시스템으로 최대한 많이 이동하려고 시도했으며 동일한 작업을 수행하는 것이 좋습니다.

여러 가지 이점이 있습니다.

번호 1은 외부에서 (Windows XP에 아무 것도 설치하지 않고) VM 네트워크 액세스를 매우 엄격하게 제어 할 수 있으며 호스트 시스템의 최신 OS 및 실행되는 모든 보안 소프트웨어의 보호를받는 것입니다.

또한 업그레이드 또는 하드웨어 오류가 발생할 때 VM을 다른 물리적 시스템 / 운영 체제간에 이동할 수 있으며 업데이트 / 변경 사항을 적용하기 전에 “알려진 정상 작동”상태의 스냅 샷을 저장할 수있는 등 쉽게 백업 할 수 있습니다.

애플리케이션 당 하나의 VM을 사용하여 사물을 완전히 분리합니다. 부팅 드라이브 UUID를 올바르게 유지하는 한 Windows XP 설치는 문제가되지 않습니다.

이 접근 방식은 최소한의 Windows XP 설치와 필요한 소프트웨어가 하나만있는 특정 작업에 대해 VM을 스핀 업할 수 있다는 것을 의미합니다. 컴퓨터의 네트워크 액세스를 제한하면 취약점이 크게 줄어들고 Windows XP가 업데이트를 통해 놀라게하거나 방해 할 수 있습니다.


답변

누군가가 이전에 제안했듯이 나머지 네트워크에 대한 격리를 강화하는 것을 고려하십시오.

온 머신 소프트웨어에 의존하는 것은 약합니다 (자체 취약한 OS 네트워크 스택에 의존하기 때문에). 전용 서브넷은 시작이 좋고 VLAN 기반 솔루션이 더 좋습니다 (결정된 공격자가 활용할 수는 있지만 대부분의 “기후 범죄”공격이 중단됩니다. NIC 드라이버는이를 지원해야합니다). 전용 스위치 또는 포트 기반 VLAN을 통한 전용 물리적 네트워크가 가장 좋습니다.


답변

예, 교체해야합니다. 워너 크라이 (WannaCry) 이후의 모든 종류의 네트워크에 연결된 Windows XP 시스템을 운영하는 사람이라면 누구나 문제를 묻는 것입니다.