¿Una máquina virtualizada de Windows sin acceso a Internet necesita actualizaciones (seguridad)?

Navega tus respuestas
3

Hace poco vi una máquina con Windows 7 (que se ejecuta virtualmente en un entorno Xen) y la usé en una red de producción para realizar ciertas tareas automatizadas.

Este sistema faltaba en más de 100 actualizaciones de Windows, incluidas las actualizaciones de seguridad críticas. La explicación que obtuve del administrador del sistema fue que este sistema solo es accesible en dos casos:

  1. Sobre la consola Xen cuando está conectado a la red privada virtual de administración (VPN).
  2. Cuando se conecta a la producción VPN a través de Windows Remote Desktop (RDP), se usa la autenticación de dos factores (2FA, Vasco Tokens) para la autenticación en un directorio activo (AD).

Todos los servidores en la red de producción están detrás de un Barracuda NG Firewall.

En su opinión, el trabajo y las actualizaciones no son necesarios porque el firewall bloquea todo el tráfico de Internet entrante y saliente desde y hacia esa máquina.

Parece antinatural no actualizar incluso cuando la máquina está "aislada". Entonces, ¿una máquina Windows virtualizada sin acceso a Internet necesita actualizaciones y cuáles son los riesgos potenciales cuando esta máquina no se actualiza en este caso?

Nota: permití que el firewall permitiera a esta máquina conectarse a los servidores de actualización de Microsoft para obtener una lista de las actualizaciones faltantes. Todas las conexiones de Internet entrantes y salientes hacia / desde esta máquina están nuevamente bloqueadas en el firewall.

    
pregunta Bob Ortiz 29.07.2016 - 17:24
fuente

2 respuestas

2

Ambos tienen un punto, así que aquí hay algunas preguntas para considerar. Mis respuestas a esas preguntas pesan en el lado de los parches.

Cuando alguien se conecta a través de cualquiera de esas VPN, ¿qué controles hay uno que se pueda transferir? Cualquier forma de obtener datos en una máquina es una forma de obtener código malicioso allí. Esto incluye incluso la escritura (aunque espero que sus administradores sean un poco más sofisticados que las personas engañadas para escribir "rm -rf /" en un cuadro de Unix).

La seguridad en capas sugeriría que las máquinas tienen alguna capacidad básica para cuidarse a sí mismas, pero ¿está abriendo una conexión de algún tipo al mundo exterior peor que ninguna conexión? ¿Qué pasa con las vulnerabilidades en las herramientas que utiliza para conectarse?

No olvide que las actualizaciones no son solo actualizaciones de seguridad. Es posible que desee que se instalen las actualizaciones que afectan a estabilidad (pero como con cualquier sistema de producción, debe probarlas primero).

    
respondido por el Chris H 29.07.2016 - 17:36
fuente
2

Estoy de acuerdo con mootmoot, no existe un sistema cerrado si se comunica con otras máquinas / hay más de una persona que accede a él.

Podría tener un problema si alguien infringe el servidor xen, si alguien obtiene las claves de la vpn, si alguien se acerca a la máquina host con una memoria USB ...

La vm está en una posición relativamente aislada, pero todavía hay canales IO conectados y un canal IO es siempre un potencial vector de ataque.

Actualízalo después de haberlo respaldado. Más seguridad es mejor.

    
respondido por el Rob Truxal 30.07.2016 - 01:20
fuente

Lea otras preguntas en las etiquetas

Se encontraron claves privadas DSA y RSA codificadas en un archivo durante la prueba de penetración. ¿Cómo usarlos para la autenticación SSH? ¿Es esta vulnerabilidad de desbordamiento de enteros explotable?