RDP op Windows XP, hoe slecht is dit idee?

Kurt De Naeyer schreef op donderdag 9 januari 2020 @ 14:10:
Hallo Tweakers

Op het nieuwe werk heb ik een naar mijn mening toch wel een serieus veiligheidsrisico gevonden. Er staan drie apparaten die aangestuurd worden vanaf pc’s waar nog Windows XP of Windows 7 op draait. Deze pc’s hangen gewoon aan het internet en er draait een Teamviewer op zodat de fabrikant remote support kan bieden.
Er hangt wel iets van firewall tussen, maar veilig lijkt mij dit zeker niet.

Daarnaast staat in het bedrijf een soort van file-server waar deze apparaten nog steeds toegang moeten toe behouden. Dit is noodzakelijk.
De rest van de pc’s hangen in het domein, maar deze niet. Er is wel een domeingebruiker aangemaakt, deze wordt gebruikt om vanaf deze XP/7-apparaten een share op de file-server te openen.


Ik ga er op aansturen om het volledige netwerk te laten nakijken door een expert, maar wil hier niet op wachten voor deze specifieke situatie. Ik heb zelf drie oplossingen in mijn hoofd.


Oplossing 1 & 2 zijn ter info, maar ga ik nog niet direct uitvoeren, dus sla deze gerust over.

1. De pc's upgraden (eerder vervangen) naar Windows 10. Dit is in mijn ogen de enige correcte oplossing. Het probleem is dat de software niet compatibel is en de fabrikant weigert nieuwe software te maken. Je zou dit door een derde partij kunnen laten maken, maar dat wordt heel duur, tijdrovend en riskant. Dit is al bij voorbaat afgeschoten en ik heb daar helemaal niets aan te zeggen, dus het heeft geen zin om toch met argumenten af te komen.
2. Nieuwe pc’s plaatsen en daar de huidige Windows-omgevingen op draaien als virtuele machine.
   De nieuwe pc’s komen uiteraard in het domein en worden vanaf dan ook beheerd en up-to-date gehouden samen met de rest van de infrastructuur.
   • Het guest-OS wordt volledig geïsoleerd. Dus zeker geen toegang tot de netwerkadapter.
   • Het guest-OS krijgt toegang tot één drive van het host-OS. Dit is de share op de file-server.
   • Mogelijke problemen:
     • Hoe de communicatie met de apparatuur verloopt, weet ik nog niet. Ik hoop op een seriële poort, maar het kan evengoed een antieke PCI-kaart zijn waar geen drivers meer voor bestaan.
     • Ik vermoed dat Windows XP en 7 telkens met een OEM-licentie draaiden van de pc waarop ze kwamen. Zeker voor XP zijn er geen licenties meer te koop, dus legaal activeren wordt moeilijk.
     • Een VMware bijvoorbeeld zal uiteindelijk ook stoppen met Windows XP te ondersteunen en dan zitten we weer in dezelfde situatie (de apparaten zelf zijn bijlange nog niet end-of-life)
3. Deze pc’s komen in een aparte VLAN zonder toegang tot internet, deze kunnen enkel de lokale file-server en de laptops van de technische dienst bereiken.
   • Vervolgens activeer ik remote desktop op deze pc’s.
   • Indien de fabrikant ondersteuning moet leveren, kan hij via Teamviewer een laptop van iemand van de technische dienst overnemen. Vanaf die laptop kan een rdp-sessie met de Windows XP of 7 gestart worden.
   • Als extra veiligheid zou ik twee batch-bestandjes kunnen maken:
     • Het ene staat op het bureaublad van de apparaten en daarmee wordt rdp opengezet.
     • Het tweede laat ik iedere avond automatisch draaien en dat deactiveert rdp terug.
     • Op die manier staat rdp enkel open wanneer iemand het manueel activeert en de volgende dag staat dit terug dicht.

Het allerbelangrijkste is dat de apparatuur blijft werken. Daarom zou ik voor optie 3 gaan en op een moment dat er geen productiviteit is testen of optie twee kan werken.


Mijn vraag is of dit goede alternatieven zijn of dat ik het net nog erger maak. Remote desktop wordt actief misbruikt, maar daar deze pc's op deze manier afgezonderd worden en nooit rechtstreeks aan het internet geconnecteerd zijn, zou dit veilig moeten zijn. Mijn buikgevoel doet mij echter sterk twijfelen. Sla ik hier de bal volledig mis of is dit een goed plan?


Groeten
Kurt

Optie 3 is het snelst.
Optie 2 is ook mogelijk, VirtualBox ondersteunt nog steeds Windows 3.1 bijvoorbeeld. Eventueel kun je van de huidige computers een virtuele disk maken (clone) en die inladen als virtual machine op een nieuwe computer. Het is dan nog steeds legaal aangaande licentie en je hoeft verder ook geen software e.d meer te installeren. Vraag is inderdaad wel hoe dit communiceert, als dit via IP gaat is er nog een uitdaging. Wellicht een aparte NIC plaatsen.
Leverancier kan dan de nieuwe computer overnemen en met VirbualBox of VMWare de XP machines, die daar op draaien, beheren.

Kurt De Naeyer schreef op donderdag 9 januari 2020 @ 14:10:
[...]
Er is wel een domeingebruiker aangemaakt, deze wordt gebruikt om vanaf deze XP/7-apparaten een share op de file-server te openen.
[...]

Dit is een gevaarlijk lek, op deze manier kan een cryptolocker via je onveilige XP machine binnenkomen en je bedrijfsdata encrypten. Ik zou maar eens goed checken waar die domeingebruiker allemaal bij kan qua fileshares e.d.

En vermoedelijk zal SMB1 ook nog open staan op de fileserver i.v.m. backwards compatibility met XP. Hierdoor ben je kwetsbaar voor de 'EternalBlue' exploit (die ook actief misbruikt wordt!)

Het is bij een klant gebeurd. Ik heb de klant gewaarschuwd maar nee hoor, gewoon doorgaan.
De W7 RDP had ik al op een hoge poort gezet en admin account de naam veranderd en de gebruiker als standaard gebruiker maar de virusscanner was door de klant geherinstalleerd zonder wachtwoord en ja hoor daar ging het mis want was er een wachtwoord, dan had je nog kans op dat het tegen was gehouden. Daarna was het arme schaapje al over het hek van de dam en kon je zwaaien naar de kansen om het systeem nog virusvrij te houden. Nu ligt de schijf hier naast mij, in de hoop ooit nog een decryptor op los te laten.
Ik had achteraf Duo Security (duo.com) moeten gebruiken, dat is echt mijn tip en daarmee kan je MFA activeren en dan komen ze niet zomaar meer binnen. Dan kan je ook namelijk nog diverse Windows aanpassingen (GPO) doen waardoor het systeem toch wel een stuk veiliger aan het worden is.

[ Voor 8% gewijzigd door itsalex op 09-01-2020 22:03 ]

Welkom in de wereld van zeer dure machines die vele malen langer meegaan dan de gemiddelde PC.. Ik heb daar in m'n nieuwe baan ook mee te maken. Machines die tientallen miljoenen hebben gekost en waarvan de fabrikant (als die nog bestaat) z'n schouders ophaalt als je vraagt of de PCs voor de aansturing een upgrade kunnen krijgen.

Optie 3 is voor de beveiliging al een flinke verbetering ten opzichte van nu, maar heb je ook nagedacht over de continuiteit? Je zegt het zelf al: een nieuwe XP installatie kun je vergeten, Windows 7 binnenkort idem. Wat kun je als de PC stuk gaat en niet meer gerepareerd kan worden?

Optie 4: het risico accepteren en zorgen dat je een image van die machine terug kunt zetten.
Die teamviewer niet standaard draaien en de rest van je beveiliging aan de infra overlaten die er voor bedoeld is.
Jij bent hier uitvoerend, wellicht adviserend, maar niet degene die het risico moet beoordelen of moet nemen. Dat doet je baas. Leg het hem voor, kijk wat ie er van vindt en zorg voor jezelf dat je een fallback hebt. Desnoods ga je met Reborn kaarten oid werken.
Dat is hetgene wat je zelf in de hand hebt, iets anders niet. Je zou evt spare parts kunnen opsnorren, maar testen kun je die niet, want dat spul moet blijven draaien tot sint juttemis. Pas dan is je baas mogelijk gedwongen tot iets nieuws. En reken maar dat dat in de tienduizenden euro's gaat lopen, zoniet een ton of meer. Maar das allemaal geaccepteerd door je baas en meegenomen in de afschrijving van het spul toen ie het kocht. Die investering doen ze alleen opnieuw als het echt niet anders kan.

Er mist wat informatie, namelijk:

1. Wat moet de fabrikant remote kunnen doen? Alleen schermbediening? Of ook file transfer, om bijvoorbeeld software te upgraden?
2. Wat voor toegang tot de file shares is nodig? Zal de applicatie alleen data uitlezen en verwerken? Of ook zelf wegschrijven? Moet dit real-time gebeuren, of kan er vertraging in zitten?

Alhoewel wxp/w7 beter kan worden vervangen door een OS dat supported is, is het niet zo dat de huidige config per definitie onveilig is. Indien de wxp/w7 systemen alleen een verbinding richting TV kunnen maken en inkomend alles wordt geblokt, is er weinig aan de hand.
Ook het feit dat een domain user rechten heeft op de file share, zegt nog weinig over de mogelijkheden richting het rest v/h netwerk. Daarvoor weten we te weinig af van de omgeving.

Een paar suggesties:

1. Als je vreest dat malware binnenkomt via de fabrikant, zorg er dan voor dat file transfer niet mogelijk is en de fabrikant alleen schermbediening kan doen. Nog mooier is een SSL vpn ervoor te plaatsen, waarmee je de mogelijkheden van de remote user kunt regelen.
2. Als je vreest dat malware op een wxp/w7 systeem de rest v/h netwerk infecteert, maar de huidige config kan niet veranderd worden, dan is het wellicht een idee of de file share via een tussenstation beschikbaar te maken, bijvoorbeeld:

File server ----periodieke copy ---> nas/dmz-server <----- wxp/w7 toegang
of
File server ----periodieke copy ---> wxp/w7 toegang (je kunt regelen dat deze computer wel data kan ontvangen, maar niet versturen (uitschakelen "client for Microsoft networking")

Data kan je heen/weer syncen op deze manier. Dit wordt vaker gebruikt in de industrie, om een leverancier toegang te geven tot klantendata.
Ook kan je de domain user vervangen door een local user op de file server, zodat alleen rechten op de file server mogelijk zijn.

Alhoewel het makkelijk klinkt om wxp/w7 te vervangen, is de praktijk dat er vaak genoeg scenario's zijn dat dit niet mogelijk is, vanwege legacy software/hardware. Bijvoorbeeld bij industriële processen. Dan heeft het weinig zin te roepen dat wxp/w7 perse vervangen moet worden en kan je beter kijken naar het zo goed mogelijk indammen, om het risico te verlagen dat het systeem misbruikt wordt richting de rest v/h netwerk.

Maar nogmaals, er mist nogal wat informatie om een compleet advies te geven. Ik zou eerst de verschillende aanvalsvectoren opschrijven en uitwerken, een risico analyse opstellen en dan pas gaan nadenken over oplossingen.

Ik zou voor optie drie gaan, en 'm nagenoeg volledig isoleren.

XP gaat in VLAN, volledig gefirewalled, behalve RDP van buiten. De leverancier mag via een VPN inloggen op een semi-management-RDP-machine, waarvandaan hij verder mag RDP'en naar de machine. De XP-machine haal je uiteraard uit het domein, en idealiter geef je 'm geen default gateway en één static route naar de RDP-tussenmachine.

Hiervan zal de leverancier licht over de flos gaan, want het is minder makkelijk om in te loggen, maar het zorgt er wel voor dat je XP-machine nérgens heen kan behalve een bastion-host die je goed in beheer hebt. Veel succes

The Eagle schreef op donderdag 9 januari 2020 @ 22:49:
Jij bent hier uitvoerend, wellicht adviserend, maar niet degene die het risico moet beoordelen of moet nemen.

Lekker makkelijk "Niet mijn verantwoordelijkheid" maar als er iets catastrofaal mis gaat is het wel jouw reputatie en mischien zelfs jouw baan.

De baas heeft geen flauw idee. Advies gaat er niet voor zorgen dat de baas een flauw idee krijgt. De baas staat verder van het probleem af en zal het probleem nooit begrijpen.

Net zo goed als dat een software ontwikkelaar altijd verantwoordelijk is voor de bug, ook al heeft de baas gezegd dat die niet belangrijk is, is de beheerder altijd verantwoordelijk voor dit probleem.

Ik weet dat je het goed bedoelt @The Eagle. En ik weet dat je opmerking komt uit de tijd dat er RACI matrices bestonden. Maar het concept dat er iemand anders "responsible" is dan degene die "accountable" is, leidt nooit tot goede oplossingen.

Ik ben al lang blij dat TS op zoek gaat naar een oplossing ondanks dat hij op papier niet "accountable" is. In realiteit is hij het namelijk wel. Als dit mis gaat is het niet de kop van de baas die rolt........

Ik werk voor een leverancier van dat soort machines die veel langer meegaan dan de software. Voor ons bedrijfje is het economisch niet interessant om nog software te schrijven voor apparatuur die niet meer actief gesupport wordt. Spul uit de jaren 90 met vage aansluitingen en ongedocumenteerde protocollen kosten exorbitant veel euro's om daar nog iets uit te halen. Dit volledig financieel aan de klant overlaten wordt je ook niet in dank afgenomen.

Apparatuur draait ook prima offline, maar dan moet de data overgetypt worden. Ook minder ideaal tegenwoordig, maar in '95 was dat normaal.

Wij gaan in dit soort gevallen altijd voor een VMware oplossing met PCI/PCI-express passthrough. Soms hebben we nog vage GPIB converters nodig, maar meestal zijn de aansluitingen iets moderns als RS232/485. Helemaal dichttimmeren die virtuele PC en na oplevering een snapshot maken en offline bewaren. De bijbehorende software en activatieservers (3rd party) bestaan ook allang niet meer dus zonder actueel image kun je sommige software niet eens meer gebruiken.

Gelukkig hangen activatiekeys meestal aan hostnames of MAC adressen

Apart VLAN met slechts 1 poort open voor FTP retrieval vanaf een win10/recente windows server wordt ook gedaan. Die netwerkshare is niet nodig vaak, gaat er maar om dat de files van A naar B gaan. Actief files ophalen vanaf een FTP client op een recente windows machine werkt dan het beste. Filter er overheen op filetype en je bent aardig veilig. Alles beter dan een netwerkshare in ieder geval.

Croga schreef op vrijdag 10 januari 2020 @ 13:52:
[...]

Lekker makkelijk "Niet mijn verantwoordelijkheid" maar als er iets catastrofaal mis gaat is het wel jouw reputatie en mischien zelfs jouw baan.

De baas heeft geen flauw idee. Advies gaat er niet voor zorgen dat de baas een flauw idee krijgt. De baas staat verder van het probleem af en zal het probleem nooit begrijpen.

Net zo goed als dat een software ontwikkelaar altijd verantwoordelijk is voor de bug, ook al heeft de baas gezegd dat die niet belangrijk is, is de beheerder altijd verantwoordelijk voor dit probleem.

Ik weet dat je het goed bedoelt @The Eagle. En ik weet dat je opmerking komt uit de tijd dat er RACI matrices bestonden. Maar het concept dat er iemand anders "responsible" is dan degene die "accountable" is, leidt nooit tot goede oplossingen.

Ik ben al lang blij dat TS op zoek gaat naar een oplossing ondanks dat hij op papier niet "accountable" is. In realiteit is hij het namelijk wel. Als dit mis gaat is het niet de kop van de baas die rolt........

Ah, jij kent de situatie bij hem op zijn werk door en door en jouw glazen bol doet het wel?
Nofi, maar volgens mij gaat iedereen hier af op wat ie leest

Wat ik lees is dat TS net nieuw is in het bedrijf en dat ie iets aantreft wat ie zelf niet goed vind. Prima En vervolgens meteen naar een oplossing gaat zoeken en vragen en ons mee laat denken, nog voordat ie uberhaupt aan de baas heeft gevraagd of die er van op de hoogte is. TS geeft letterlijk aan dat ie naar zijn mening een risico heeft gevonden en er op wil aansturen dat er naar gekeken wordt.
Dat lijkt mij een wat overhaaste reactie zonder eerst overleg te voeren met zijn baas. En dat ie dat gedaan heeft en de baas het er roerend mee eens is (of wellicht zijn schouders gewoon ophaalt), lees ik nergens.
Zolang je dingen ziet en meteen acteert maar niet meldt is het imho jouw eigen probleem en niet dat van je baas. Terwijl dit toch echt een probleem van de baas is, en niet van TS. Die constateert slechts.

Kurt De Naeyer schreef op donderdag 9 januari 2020 @ 14:10:
...
Op het nieuwe werk ...

Zit je nog in je proeftijd?