WinXP biztonságos használata LAN-on.

Microsoft Windows

Hello!

Adott egy otthoni LAN, mely a netre csatlakozik NAT-al egy debianos szerver segítségével. Ezt a gépet tekintsük biztonságosnak (rendszeresen frissített, backupolt, tűzfallal ellátott).
A szervert samba-n elérik windowsos kliensek is.

A kérdés, hogy miként lehetne XP-t használni biztonsággal egy ilyen közegben? Itt alapvetően három kategória létezhet:
a.) az XP-nek semmilyen hálózati elérése nincs. Ez a triviális megoldás, de azért ennél jobb kellene.

b.) Szükséges elérni a LAN-t, de netet nem. Ekkor:
- XP-ben beállítani a tűzfalat, hogy nem LAN-ba irányuló csomagokat mind blokkolja.
- A szerveren letiltani a NAT-ot, csak proxyt engedélyezni, és az XP-nek nem megadni a proxy adatait.

c.) Szükséges elérni a LAN-t is és a netet is. Ekkor:
- A szerveren letiltani a NAT-ot, és csak a proxy használatát lehetővé tenni. XP alatt csak firefox használata és csak ott beállítva a proxy, hogy más programnak esélye sem legyen a nethez hozzáférni. Ekkor a böngésző már támadási felület lehet.

Még egy apróság: a felhasználóban nem lehet megbízni :) A LAN-t viszont tételezzük fel megbízhatónak.
Kérdés tehát, hogy ezek elégséges védelmek-e? Van-e valakinek jobb ötlete?

Köszi a válaszokat, üdv.

  • 4756 megtekintés

"De ha egyáltalán nincs net, akkor is berakhat a user egy fertőzött pendriveot vagy cd-t."

Azért a gpedit.msc-vel elég brutális korlátozásokat, butításokat lehet végezni (többek között bármilyen cserélhető adathordozó automatikus indításának tiltása). De a Start menü és az elérhető funkciók is elég rendesen kiherélhetők. Persze kérdés, hogy mire kell a gép. Ja, meg a korlátozott user az alap!

Ne kattints ide!

Mivel nincs információ a felhasználó informatikai képzettségéről, így nem mindegy, hogy olyan user, aki állandóan a fácsén akarna lógni, meg prúún oldalakat nézne de tudása ott véget is ér (azaz a google-ba beírja, hogy fácsebuk, majd rákattint az első találatra :) ) vagy a másik véglet, aki éppen most dobott össze hobbiból pld. egy újabb bash exploitot. Utóbbi esetben a user cseréjét tudnám csak javasolni megoldásként :), első esetben elég neki egy net nélküli, xarrá korlátozott XP.

Ne kattints ide!

( iattilagy | 2014. 09. 27., szo – 07:34 )

Otthoni környezetbe miért akarsz xp-t használni? Helyedben megfontolnám egy linux használatát (régi vas esetén), vagy esetleg, ha nagyon xp kell valamire akkor vm.

( bennyh | 2014. 09. 27., szo – 08:06 )

Letiltani az admin share-eket,
letiltani minden szolgáltatást, amit csak lehet.
Én még külön hálózatba is raknám, forward tiltás mellett és egy proxy-n át csak a feltétlenűl szükséges oldalakat és ftp szervereket engedném akár lan akár net felől, pl ha valahova fel kell tölteni vagy valahonnan le kell tölteni anyagokat. Az átjárón meg a proxy mellé be kellene üzemelni valami clamav-t használó vírusszűrőt.

( ncc1701 | 2014. 09. 27., szo – 08:17 )

Linux host, xp guest, virtualizált xp-n netet tiltani, az alól csinálja, amiért ott az xp, netezni meg netezik linux alól. Ugyanaz a chrome/firefox fut rajta.

( Caro | 2014. 09. 27., szo – 08:59 )

Köszi az eddigi hozzászólásokat! Látom sokan javasoltátok a virtualizációt, jelenleg ez van, de nem jó!
Videóvágóhoz kell, ezt eddig nem írtam, és VirtualBoxban gondok vannak vele, meg a virtuális gép teljesítményével is.
A proci pedig új, Haswell i3, tehát van benne hardveres virtualizáció, és nested paging, mégsem kielégítő a teljesítmény. Ez lenne a fő felhasználás.
Pendrive-ot nem nagyon használunk, így az valóban le is tiltható.
Da a fő fókuszom a remote problémák.

Akkor tegyük fel, hogy csak LAN elérést kapna a gép. Sőt, lehet olyan is, hogy csak a szerverrel kommunikálhat. Ha ezt beállítom a windows tűzfalban az elég, vagy a windows tűzfal sem megbízható? Ez igazából a kérdés.
Tudom hogy vannak olyan vírusok, amik ezt kiiktatják, de ha nincs net hozzáférés, akkor ezek be sem juthatnak elvileg.

szerk:
Most nézem, hogy a windows firewall elég buta, nem is biztos hogy ez megoldható vele. De akkor legyen egy 3rd patry tűzfal, a kérdés ugyanaz.

Én mindenképp külső tűzfalra bíznám a dolgot. Mondjuk ha nem akarsz erre külön gépet, akkor pl egy openwrt-t futtató router pár ezresből megvan és ha van elég hely rajta még proxy-t is telepíthetsz rá. Be lehetne korlátozni, hogy a netről és a lanról mit érhessen el. Pl lenne a LAN-on egy fájlmegosztás és be lehetne lőni, hogy azt az ip-t adott portokon el tudd érni és minden más minden irányba tilos. Kényelmetlenebb de egyszerűbb ha a LAN-on van egy ftp szerver és csak azt engeded. De van egy halom protokol megosztásra és fájlmozgatásra. Ki kell választani a szimpit és azt engedni csak megadott gépekről.

( kisbetu v | 2014. 09. 27., szo – 09:16 )

"Még egy apróság: a felhasználóban nem lehet megbízni :) A LAN-t viszont tételezzük fel megbízhatónak."
Ellentmondást vélek felfedezni.
Ha a LAN-on ténykedő elhasználó megbízhatatlan, akkor hamarosan széthekkeli a hálót is.

( Fisher v | 2014. 09. 27., szo – 10:08 )

Gondolkoztam, hogy leírjam-e az eretnek gondolataimat, de nekem már úgyis mindegy, ehe.

Szóval. Bármelyik windows, a legfrissebb is megfertőződhet. Bármelyik víruskereső benézhet egy-egy állatkát, ami átcsúszik, így egy alap, viszonylag értelmes szinten túl felesleges nagyobb biztonságra törekedni, mert az meg a használhatóságot löki hanyatt.

Mivel úgyis a felhasználó lesz a gyenge láncszem, így a felhasználónál "jobb" rendszert építeni felesleges.

Amit én tennék: keresnék egy viszonylag jónak vélt víruskeresőt, ami még elfut XP-n, illetve a lehetőségekhez képest leegyszerűsíteném a mentés (pl. clonezilla dump) visszatöltését, illetve az adatok korrekt mentését/visszatöltését.

Persze ezzel sok a nyomor, mi tagadás, de szerintem bárhogy is, mindenképpen sok lenne.

Nálam mondjuk fut egy XP, még vírusirtó sincs rajta, és még sincs lefertőzve, de talán azért, mert csak egy firefox fut benne, ami csak egy belső oldalt nyit meg (monitoring) :)

( igiboy | 2014. 09. 27., szo – 10:46 )

Én Lézervágó CNC gépekhez csináltam olyat, hogy a friss telepítésű XP-ből kivettem mindent ami nem volt szükséges, pl swap fájl, asztali ikonok, stb... Telepítettem a programot amit majd használni kell.
Beállítottam mindent, az XP-n és a programon belül is.
Erről készült egy clonezilla image. Így könnyen visszaállítható ez az állapot ha esetleg valami gond lenne.

Routerben le lett tiltva ezeknek a gépeknek az IP tartománya olyan irányba, hogy a NAT-olt csomagokat, kifelé menő kommunikációja nincs. Teljesen el van zárva az internettől. Belső hálózaton kapják az anyagot, a CNC-n van a munkakönyvtár megosztva és oda kell másolni amivel dolgozni akar valaki.

Eddig évente 2-3 alkalommal de 1 alkalommal biztosan úja kellett telepíteni a gépeket. Jelenleg már több mint 1 éve működnek gondtalanul. HDD hiba miatt kellett a clonezilla 1 alkalommal.

( end | 2014. 09. 27., szo – 15:54 )

Sok XP-t "hajtok", sztem. meg jo darabig, napi 8-10 oraban. Bongeszes+levelezes. Jatek a gepeken nincs! Usermod, gpedit-restrikcio max.-on, Panda IS-en is Windows update-k, tavoli eleres, notifications-ok, error reporting-ek, barmifele appok ilyen-olyan fejlesztoi szervizek, auto-updatek, - a Panda-et kiveve, - stb. modszeresen es fanatikusan kitiltva, eltavolitva. 2002 ota csak akkor telepitek XP-t ujra, ha a hardver tonkre megy, vagy "nagyobb" gep kell a regi helyett. (Nem sokszor fordult elo.) Rendszeresen ellenorzok kontroll cuccokkal, - (Malwarebyte, meg vagy 5 masik kereso) - virus, toolbar nalunk nem jellemzo, lehet rossz a memoriam, de az elmult 10 evben nem emlekszem komolyabb fertozesre. (Csak a "haztaji" gepekrol ismerem a szivatasok e formait.) Akik Fox-on igenylik a history-t, azoknal van hetente max. 10-20 kemsuti. Manualisan hetente ellenorzom es leirtom. Akiknel a megorzes kikapcsolhato, azoknal a roszindulatu kod nulla. A Fox-on az adblock-noscript-ghostery harmas majdnem kotelezo manapsag. - Chrome es a "gugli" update szoba nem johet. (Termeszetesen a debian-os szerveren sem kell tavoli eleres es a net proxy-n keresztul megy az XP-k fele.)

Pedig a felhasznalok hasznalnak pent es mobil kutyuket, es en megbizom a felhasznalokban. Szamukra en gondoskodom a munkavegzes lehetosegerol. Ha egy gep "fertozottsege" miatt malmozni kenyszerulnenek, az az en saram lenne. Azt jelenti, nem vegeztem jol a munkamat. Persze elfogadjak, a gepeken nem valtoztathatnak nelkulem.

(Nem is ertem mi ez a nagy XP-tol "retteges". En sokkal jobban "felek" a netre kotott 7-esektol, 8-asoktol. Meg az allando "updatelgeto" filozofiatol. Azok sokkal kevesbe vedhetok "faek" eszkozokkel. Bar, ha azoknal is "kenyszeritett", restriktiv usermod van, akkor nincs baj es ez nalam ott is alap.)

Akik alapertelmezett beallitasokkal, admin modban, netre kotve hasznalnak XP-t, nos azoknak valoban nem "rozsas" a helyzete. De az soha nem is volt az. De igy van ez 7-en 8-on az UAC ellenere is.

Mondjuk az IE-vel vagy FF-el is belefuthatsz egy carefully crafted exploitba teljesen ártatlan böngészésen keresztül, pl. egy megtört CMS-es weboldalról. Mivel tuti van már néhány nem javított privilégium emelési bug a WinXP-ben, ezért érdemben nem tudsz védekezni, csak reménykedni, hogy a szigorú beállításokon nem jutnak el a hiba kihasználásáig.

( vfero v | 2014. 09. 27., szo – 17:52 )

Hi!

Csak ötlet, de mi lenne, ha az egyik XP-n se lenne net, csak a debianon, és egy virtuális ablakban, mentegethetné a cuccait a saját sambas struktúrájára.
vfero

( kila | 2014. 09. 28., v – 00:06 )

Erre jó lenne a Windows Steady State, de a Microsoft előrelátóan megszüntette 2010-ben. A neten máshonnan még letölthető és vannak alternatívái is, Windows 7-re is.

https://en.wikipedia.org/wiki/Windows_SteadyState
http://hup.hu/cikkek/20100919/a_microsoft_megszunteti_a_windows_steadys…
http://download.cnet.com/Windows-SteadyState/3000-18512_4-10977409.html
http://www.steadierstate.com/
--
Légy derűs, tégy mindent örömmel!