我遇到这样一种情况,我需要继续运行 Windows XP PC,尽管 XP 早已不再受微软支持。
PC 将连接到我的网络,但目的只是为了允许 Linux 虚拟机通过 PC 的网络连接访问互联网。PC 上的其他任何东西都不会接触互联网。
我在这里可能会面临什么样的安全风险?我一直认为,只有浏览可疑网站或执行/打开恶意文件才会发生任何不良事件。这台电脑上不会发生这种情况(虚拟机使用桥接网络,这意味着其流量被很好地隔离了)。
是否只需将 Windows XP PC 连接到网络即可利用该技术,无需用户交互?
如果存在风险,那么在保持原有物理配置和功能的同时,可以采取哪些实际步骤来减轻风险?
悬赏已开启
许多人肯定遇到过类似的情况,他们需要将旧版 XP PC(或 VM)暴露到网络中。这就是我提供 500 分的原因,希望我们能得到可靠的答案。
反对者:不要害羞,请发表评论。我可以改进这个问题,但前提是我知道它有什么问题。
答案1
这里的“安全风险”范围比较广——大的这里的问题是 XP 不受支持,如果出现一些新的威胁,针对仍在运行的许多 XP PC它不会被修复.. 因此,如果我具体列出安全问题,那将是生长列表。Windows XP 是静止的目标动态增长的威胁
当然,当 XP 还是全新、闪亮且超棒的操作系统时,我的一台旧 PC 就被利用了,并被一个小偷用来存储盗版软件,所以... 几年后这种情况肯定还有可能发生。
让我们看一个随机长漏洞列表我在网上找到的
Microsoft Windows XP SP2 和 SP3、Windows Server 2003 SP2、Windows Vista SP2、Windows Server 2008 SP2 和 R2 SP1 以及 Windows Server 2012 Gold 和 R2 中的安全帐户管理器远程 (SAMR) 协议实现无法正确确定用户锁定状态,这使得远程攻击者更容易绕过帐户锁定策略并通过暴力攻击获取访问权限,又名“SAMR 安全功能绕过漏洞”。
所以...是的,不只是你。基本上在 XP 中发现的任何漏洞停留开放,而微软并没有修复它。并非所有漏洞都依赖于直接用户愚蠢任何在互联网上可见的系统都会被戳、刺和测试。NAT 可能会掩盖你,但坏人也会知道
有趣的是,这是 XP PC 有意义的一个案例。
理论上你可以缓解这在很大程度上与非常严格的防火墙规则有关,关闭任何不必要的服务并保持系统精简。特别是关闭允许远程访问任何排序、远程登录等
我会考虑一个略有不同的拓扑结构 - 我会尝试将 USB 以太网适配器直接连接到 VM,或者更好的是,分离数据收集系统,在其自己的子网上进行点对点以太网连接,这样 XP 盒就可以联系,但不能在互联网上。简而言之,将 XP 盒放在自己的小网络上。
如果您能找到一个 Linux 风格的防火墙,可以丢弃特定 IP 之外的任何东西,那就太好了 - 然后您就可以丢弃任何不是来自 VM 的数据包。
答案2
简短的回答是,虽然你不能完全保护这个系统,但你实际上可以将其保护到与运行最新数据防病毒软件、反恶意软件和常规 Windows 更新的通用 PC 一样好或更好的水平 - 如果你足够限制它的功能。
存在风险(确实是未知的风险),但只要您将其置于可靠的防火墙后面并且只允许从其发起请求(而不是运行任何类型的全球可访问的服务器),这些风险就非常小。
你应该把攻击场景分为三类:
脚本小子 / 互联网上的普通混蛋,只把每个人视为目标。
有人从您的网络内部发起攻击(同事或类似的人员,或者是系统已被入侵的人)。
那些想要对你发起针对性攻击的人。
您可以 - 在这种情况下可能应该将这台机器与网络的其余部分隔离,方法是将这台机器(且只能将这台机器)放在专用防火墙(没有开放端口的 nat 路由器)或防火墙上自己的接口后面 - 通过将问题转变为类型 1 或 3,可以廉价地消除问题 1。
通过不允许他们访问您的系统,可以轻松处理组 (1)。如果您所做的任何可能落入社会工程/不受控制的内容的行为,您就无法保护此系统 - 我指的是使用通用 Web 浏览器进行 Web 浏览之类的事情。如果您能够限制用于从此系统与 Internet 交互的机制并/控制清理输入,那么您应该没问题 -
[ 在限制输入方面,数据简单地穿越机器是一个灰色区域 - 在大多数情况下,您都不会有问题,因为您的系统只是转发数据包,它不会 - 或者实际上不应该与它们交互 - 除非在路由/数据包转发级别发现漏洞 - 而这些漏洞很难制造,也非常罕见 ]
对于 (3) = 高级持续性攻击,无论机器运行的是 Windows 还是其他系统,它迟早都会被攻陷。需要多长时间取决于你的警惕程度以及攻击者可以控制哪些资源(但想想看,有足够权限的人可能会闯入并窃取硬件,所以这可能不是你需要太担心的攻击)
另外还有几点想法 - 做好备份 - 这样如果出现问题,您的风险就会受到限制。(并且将其放在与系统其余部分不同的网络上可以减轻其受到攻击时可能造成的损害)