Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Oude XP werkstations op een SAMBA server
Hallo, *
Ik beheer een Samba server onder Linux in een netwerk waar de meeste werkstations Windows XP draaien. En op 8 april komt de laatste update voor XP.
Onze "onderneming" is een klein museum, en we kunnen ons niet veroorloven, alle werkstations te vervangen. En de machines zijn niet sterk genoeg om Windows7 te kunnen trekken. Dus we zullen hoe dan ook een flink aantal werkstations op XP blijven houden. Hoe erg gaat dat worden? Daar probeer ik eigenlijk een idee van te krijgen.
In feite staan alle belangrijke data op de Samba server. Ook de gebruikersdatabase met passwords en al (het is een domein login). Mijn eerste inschatting is, dat er niet al te veel kan gebeuren zolang:
1. de toegangsrechten voor de gebruikers goed geregeld zijn (dus geen write access). Dat kan betekenen dat er een paar Windows 7 machines moeten zijn voor het invoerne van data. Dat is wel te overkomen.
2. Samba zelf veilig geacht kan worden.
Op de werkstations draait ESET, en dat blijft, zolang het gesupport wordt.
Ik heb op de Linuxserver Snort geactiveerd, zodat ik met een beetje geluk aanvallen tijdig kan detecteren. Maar ik slaap natuurlijk ook wel eens...
Alle werkstations hebben een lokaal beheerdersacciunt, dat zit NIET in de gebruikersdatabase op de Samba server. Als iemand er dus in slaagt, administratortoegang op een werkstation te krijgen, dan kan hij nog niet bij de databases.
Ik overweeg de volgende maatregelen:
1) verbied Explorer voor alle gebruikers. Firefox wordt, dacht ik, vooralsnog wel ondersteund.
2) voer sterkere passwords in voor alle gebruikers (dus niet uit een dictionary, met hoofd-en kleine letters, cijfers en leestekens)
3) stel de permissies voor de gebruikersbestanden bij: geen writetoegang vanaf XP machines (moet nog uitzoeken of dat op Samba in te stellen is, zodat de paar W7 stations wel toegang kunnen krijgen. desnoods splits ik het netwerk, en zet er een firewall tussen)
4) en uiteraard, dagelijks backups, met een wekelijkse opslag van de backupmedia in een ander gebouw.
Nog wat andere overwegingen: bij mijn weten gaan passwords encrypted over het netwerk, dus als een hacker erin slaagt om op een XP machine een sniffer te installeren komt hij nog geen geheime passwords te weten. Als hij een keylogger zet, dan kan hij de passwords op die machine te weten komen-- daarom moeten loginpogingen met een account met writetoegang verboden zijn op de XP stations.
Een firewall noemde ik al, maar ik denk dat dat weinig gaat helpen: juist de toegang tot poort 443 hebben we hier nodig, en die zou je het liefste afsluiten!
Dit zijn even de ideeën die ik nu heb-- heeft iemand hier iets op aan te merken?
(NB ik zou natuurlijk het liefste gewoon naar W7 gaan, maar in een klein museum is dat niet echt haalbaar).
Ik beheer een Samba server onder Linux in een netwerk waar de meeste werkstations Windows XP draaien. En op 8 april komt de laatste update voor XP.
Onze "onderneming" is een klein museum, en we kunnen ons niet veroorloven, alle werkstations te vervangen. En de machines zijn niet sterk genoeg om Windows7 te kunnen trekken. Dus we zullen hoe dan ook een flink aantal werkstations op XP blijven houden. Hoe erg gaat dat worden? Daar probeer ik eigenlijk een idee van te krijgen.
In feite staan alle belangrijke data op de Samba server. Ook de gebruikersdatabase met passwords en al (het is een domein login). Mijn eerste inschatting is, dat er niet al te veel kan gebeuren zolang:
1. de toegangsrechten voor de gebruikers goed geregeld zijn (dus geen write access). Dat kan betekenen dat er een paar Windows 7 machines moeten zijn voor het invoerne van data. Dat is wel te overkomen.
2. Samba zelf veilig geacht kan worden.
Op de werkstations draait ESET, en dat blijft, zolang het gesupport wordt.
Ik heb op de Linuxserver Snort geactiveerd, zodat ik met een beetje geluk aanvallen tijdig kan detecteren. Maar ik slaap natuurlijk ook wel eens...
Alle werkstations hebben een lokaal beheerdersacciunt, dat zit NIET in de gebruikersdatabase op de Samba server. Als iemand er dus in slaagt, administratortoegang op een werkstation te krijgen, dan kan hij nog niet bij de databases.
Ik overweeg de volgende maatregelen:
1) verbied Explorer voor alle gebruikers. Firefox wordt, dacht ik, vooralsnog wel ondersteund.
2) voer sterkere passwords in voor alle gebruikers (dus niet uit een dictionary, met hoofd-en kleine letters, cijfers en leestekens)
3) stel de permissies voor de gebruikersbestanden bij: geen writetoegang vanaf XP machines (moet nog uitzoeken of dat op Samba in te stellen is, zodat de paar W7 stations wel toegang kunnen krijgen. desnoods splits ik het netwerk, en zet er een firewall tussen)
4) en uiteraard, dagelijks backups, met een wekelijkse opslag van de backupmedia in een ander gebouw.
Nog wat andere overwegingen: bij mijn weten gaan passwords encrypted over het netwerk, dus als een hacker erin slaagt om op een XP machine een sniffer te installeren komt hij nog geen geheime passwords te weten. Als hij een keylogger zet, dan kan hij de passwords op die machine te weten komen-- daarom moeten loginpogingen met een account met writetoegang verboden zijn op de XP stations.
Een firewall noemde ik al, maar ik denk dat dat weinig gaat helpen: juist de toegang tot poort 443 hebben we hier nodig, en die zou je het liefste afsluiten!
Dit zijn even de ideeën die ik nu heb-- heeft iemand hier iets op aan te merken?
(NB ik zou natuurlijk het liefste gewoon naar W7 gaan, maar in een klein museum is dat niet echt haalbaar).
Reacties (15)
20-02-2014, 00:33 door
Sisko
Ik weet niet wat je hardware specificaties zijn van je werkstations, maar is het een idee om XP te vervangen door Linux ?
Door Sisko: Ik weet niet wat je hardware specificaties zijn van je werkstations, maar is het een idee om XP te vervangen door Linux ?
Dat zou ik ideaal vinden, maar helaas.. onze belangrijkste applicatie draait niet onder Linux. En werkt samen met MS Office, dus uitwijken naar Wine is ook geen optie...Door Anoniem:
Dan heb je jezelf mooi een een hoekje geverfd. Wil je daar tot in den treure in blijven zitten?Door Sisko: Ik weet niet wat je hardware specificaties zijn van je werkstations, maar is het een idee om XP te vervangen door Linux ?
Dat zou ik ideaal vinden, maar helaas.. onze belangrijkste applicatie draait niet onder Linux. En werkt samen met MS Office, dus uitwijken naar Wine is ook geen optie...1) Isoleer je interne netwerk met XP-machines en de samba-server van het internet
2) Tuig een server op waarop je een klein aantal Win7 desktops virtualiseert (dit kan met linux + kvm) en plaats die in een netwerksegment dat wel (beschermde) toegang tot internet heeft
3) Sta verbindingen van het interne netwerk tot de nieuwe server toe
4) Gebruik de XP-machines als thin clients voor de virtuele Win7 desktops
Op deze manier zijn de XP-machines geïsoleerd van internet, je zult de virtuele Win7 machines goed moeten beveiligen en als die toegang tot de samba-machine hebben is het raadzaam om die laatste ook goed te beveiligen. Als je het handig aanpakt kun je dit voor minder dan €1000 implementeren.
2) Tuig een server op waarop je een klein aantal Win7 desktops virtualiseert (dit kan met linux + kvm) en plaats die in een netwerksegment dat wel (beschermde) toegang tot internet heeft
3) Sta verbindingen van het interne netwerk tot de nieuwe server toe
4) Gebruik de XP-machines als thin clients voor de virtuele Win7 desktops
Op deze manier zijn de XP-machines geïsoleerd van internet, je zult de virtuele Win7 machines goed moeten beveiligen en als die toegang tot de samba-machine hebben is het raadzaam om die laatste ook goed te beveiligen. Als je het handig aanpakt kun je dit voor minder dan €1000 implementeren.
5) Zorg er voor dat de XP machines niet op internet kunnen komen
6) Maakt koppel lokale floppy/cd drive los
7) Maak USB-poorten onklaar
Maar zelfs dan nog is het een kwestie van tijd tot het misgaat.
6) Maakt koppel lokale floppy/cd drive los
7) Maak USB-poorten onklaar
Maar zelfs dan nog is het een kwestie van tijd tot het misgaat.
Door Anoniem:
5) Zorg er voor dat de XP machines niet op internet kunnen komen
6) Maakt koppel lokale floppy/cd drive los
7) Maak USB-poorten onklaar
Maar zelfs dan nog is het een kwestie van tijd tot het misgaat.
5) Zorg er voor dat de XP machines niet op internet kunnen komen
6) Maakt koppel lokale floppy/cd drive los
7) Maak USB-poorten onklaar
Maar zelfs dan nog is het een kwestie van tijd tot het misgaat.
Jouw punt 5) is hetzelfde als mijn punt 1) De rest is wel goed advies.
(ik ben de Anoniem van punten 1 t/m 4.)
Dan heb je jezelf mooi een een hoekje geverfd. Wil je daar tot in den treure in blijven zitten?
Heb ik niet gedaan. Ik heb die applicatie niet uitgekozen. En als het aan mij zou liggen, was die MSrommel er al lang geleden uitgegaan :-(
20-02-2014, 16:38 door
golem
Het "management", voor zover ze dit nog niet zijn, op de hoogte brengen van de risico's.
En dan natuurlijk duidelijk maken dat jij hiermee de verantwoordelijkheid niet meer op je neemt
als de situatie genegeerd wordt.
Aangeven welke oplossingen/kosten er zijn om weer "veilig" verder te kunnen.
Linux-alternatief voor de Office applicatie ?
Donatiepotje bij de ingang van het museum ?
En dan natuurlijk duidelijk maken dat jij hiermee de verantwoordelijkheid niet meer op je neemt
als de situatie genegeerd wordt.
Aangeven welke oplossingen/kosten er zijn om weer "veilig" verder te kunnen.
Linux-alternatief voor de Office applicatie ?
Donatiepotje bij de ingang van het museum ?
8) een paar registerwaarden toevoegen om de administratieve shares op te heffen; (HKLM\CCS\Services\LanmanServer\Parameters\ AutoShareWKS en AutoShareServer met waarde 0 toevoegen (W32 dword))
9) domain policy maken voor de XP firewalls die alle ingaande en uitgaande berichten regelt die jij wilt toestaan. ( van - naar - poort), maak de systemen onzichtbaar.
10) proxy met webfilter om directe toegang naar het internet af te schermen en het binnen komende verkeer te kunnen regelen.
Verder zal de tijd alles wel gaan inhalen ;)
9) domain policy maken voor de XP firewalls die alle ingaande en uitgaande berichten regelt die jij wilt toestaan. ( van - naar - poort), maak de systemen onzichtbaar.
10) proxy met webfilter om directe toegang naar het internet af te schermen en het binnen komende verkeer te kunnen regelen.
Verder zal de tijd alles wel gaan inhalen ;)
Alvast bedankt voor de suggesties: er zitten beslist een paar heel bruikbare bij. Ik heb trouwens inmiddels uitgevonden dat _heel misschien_ W7 op de oude machines nog wel kan draaien. Als ik ze als thin client kan gebruiken, dan kom ik er uit met een paar echte Win7 servers, al dan niet virtueel. Daar heb ik (onder XP) al ervaring mee. En dan is er geen XP systeem meer over, en dat maakt de zaken een stuk eenvoudiger.
Nog even over het "management": in de culturele sector werkt dat een beetje anders. De directie is zich best bewust van de risico's, maar er is gewoon geen geld. Punt uit. Een paar honderd Euro gaat, maar een paar duizend zeker niet. Dan gaat het museum gewoon dicht. Dus voor mij is het binnen krijgen van een hacker gewoon een risico dat ik moet incalculeren. En we hebben in onze situatie natuurlijk weinig gegevens die echt geld waard zijn. Voor een criminele hacker zijn we niet interessant. Ik ben eerlijk gezegd banger voor een script kiddy die ongemerkt een paar tekstbestanden gaat deleten, of er gewoon voor de grap hier en daar "poep" inzet. Als ik dat kan detecteren en herstellen met de backup van gisteren is er misschien wel mee te leven.
Maar een museum is nu eenmaal geen bedrijf waar geld geen rol speelt. Onze computers zijn minstens zes jaar oud. En het zijn "krijgertjes" van een bedrijf dat ze afdankte wegens te oud.
Als het aan mij lag, was alles al lang op Linux overgegaan. Maar goed, ik zie het maar als een uitdaging.
Nog even over het "management": in de culturele sector werkt dat een beetje anders. De directie is zich best bewust van de risico's, maar er is gewoon geen geld. Punt uit. Een paar honderd Euro gaat, maar een paar duizend zeker niet. Dan gaat het museum gewoon dicht. Dus voor mij is het binnen krijgen van een hacker gewoon een risico dat ik moet incalculeren. En we hebben in onze situatie natuurlijk weinig gegevens die echt geld waard zijn. Voor een criminele hacker zijn we niet interessant. Ik ben eerlijk gezegd banger voor een script kiddy die ongemerkt een paar tekstbestanden gaat deleten, of er gewoon voor de grap hier en daar "poep" inzet. Als ik dat kan detecteren en herstellen met de backup van gisteren is er misschien wel mee te leven.
Maar een museum is nu eenmaal geen bedrijf waar geld geen rol speelt. Onze computers zijn minstens zes jaar oud. En het zijn "krijgertjes" van een bedrijf dat ze afdankte wegens te oud.
Als het aan mij lag, was alles al lang op Linux overgegaan. Maar goed, ik zie het maar als een uitdaging.
Ga eens bedelen bij wat bedrijven in de buurt of evt. via bekenden die misschien wat kunnen regelen bij de organisatie waar zij werken. Veel organisatie doen pc's de deur uit die max 5 jaar oud (Vista tijdperk) zijn en met wat geheugen uitbreiding van minimaal 2GB draait Windows 7 prima op dit soort pc's. Heb hetzelfde gedaan voor de lagere school die ik beheer, kon wat regelen met de nonprofit-organisatie waar ik tijdelijk werkte en veel pc's moest vervangen. De laatste generatie P4 rond 3GHz draait het al aardig, een beetje DuoCore 2GHz met min. 2GB voor het gewone office werk is echt wel goed mee te werken. Die laatste heb ik nu overal draaien. Nu de server 2003 nog eens vervangen.
21-02-2014, 00:08 door
[Account Verwijderd]
[Verwijderd]
Hier de Anoniem van die punten 1 t/m 4 nog eens.
Ik ging er van uit dat je een aantal XP-machines met leestoegang op die samba-server wilde handhaven, als dat niet het geval is kun je die XP-machines eenvoudig omtoveren tot thin clients door er linux op te installeren met een account dat automatisch inlogt en na het inloggen een scriptje start dat met rdesktop, tigervnc of iets dergelijks verbinding maakt met je virtuele desktop. Dat kan met vrijwel iedere linux distributie dus kies die waar je de meeste ervaring mee hebt. Het is wel raadzaam om in verband met de beperkte hardware een minimalistische desktop omgeving zoals LXDE te installeren en geen moderne Gnome of KDE (begin ook voor de rest met een installatie met zo min mogelijk packages, dingen toevoegen is eenvoudiger dan ze verwijderen).
O ja, uiteraard richt je maar één machine in als thin client waarbij je zo weinig mogelijk diskruimte partitioneert zodat je een handzaam disk image overhoudt dat je gemakkelijk en snel op al je andere machines zetten kunt (8 GB is meer dan groot genoeg en past op vrijwel iedere USB-stick).
Ik ging er van uit dat je een aantal XP-machines met leestoegang op die samba-server wilde handhaven, als dat niet het geval is kun je die XP-machines eenvoudig omtoveren tot thin clients door er linux op te installeren met een account dat automatisch inlogt en na het inloggen een scriptje start dat met rdesktop, tigervnc of iets dergelijks verbinding maakt met je virtuele desktop. Dat kan met vrijwel iedere linux distributie dus kies die waar je de meeste ervaring mee hebt. Het is wel raadzaam om in verband met de beperkte hardware een minimalistische desktop omgeving zoals LXDE te installeren en geen moderne Gnome of KDE (begin ook voor de rest met een installatie met zo min mogelijk packages, dingen toevoegen is eenvoudiger dan ze verwijderen).
O ja, uiteraard richt je maar één machine in als thin client waarbij je zo weinig mogelijk diskruimte partitioneert zodat je een handzaam disk image overhoudt dat je gemakkelijk en snel op al je andere machines zetten kunt (8 GB is meer dan groot genoeg en past op vrijwel iedere USB-stick).
Ga gebruik maken van Application Control, zodat je alleen de applicaties toestaat die echt nodig zijn
Een prima idee. Als ik de gebruikers tot een Linux thin client kan verleiden (Linux? wattistat?). En dan wordt het dus een echte thin client, je doet dan ook je Office zaken op de server. Nou, ik moet eens uitproberen of dat een beetje vlot werkt. En of de gebruikers erin trappen, misschien als ik het met Mint probeer...
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
