Maid malvadas en la sala de servidores [cerrado]

Navega tus respuestas
3

Soy muy consciente del hecho de que la inseguridad física en principio significa no seguridad. Pero digamos que tengo un servidor raíz con cifrado de disco completo que se desbloquea / inicia mediante Dropbear ssh. ¿De qué manera puede un atacante con acceso físico (por ejemplo, el proveedor de alojamiento) obtener acceso a mis datos y qué contramedidas puedo tomar para prevenir los ataques o para frenarlo? Él podría recuperar las claves de cifrado de la memoria RAM. Tresor almacena la clave en los registros de la CPU y esto podría mitigar el riesgo. Pero supongo que el uso de tresor también es detectable. El atacante podría modificar la partición de arranque o el kernel. ¿Es posible realizar una suma de comprobación en la red de / boot para determinar si alguien la ha manipulado? Tal vez la colocación en combinación con TPM podría ayudar? También Mandos y el cifrado homomórfico (aunque puede tomar algunos años para que sea prácticamente utilizable) podría ser útil. ¿Alguna idea más para implementar ataques y protección contra ellos?

    
pregunta stephen1990 24.11.2013 - 19:10
fuente

1 respuesta

5

La solución más común para esto es crear seguridad física: tiene un bastidor dedicado y utiliza un gabinete seguro y con cerradura.

También puede crear seguridad física para una sola caja bloqueando el caso. Hay algunas sutilezas para hacer esto correctamente: proteger el BIOS, los puertos Firewire, etc.

El cifrado de disco es una técnica efectiva, aunque es susceptible a ataques avanzados. Las técnicas de arranque remoto como dropbear son vulnerables a una variante remota del ataque de la criada malvada. Por ejemplo, alguien con acceso físico podría manipular la partición dropbear y hacer que pierda la clave en el próximo reinicio.

El cifrado de disco basado en TPM podría funcionar bien. No requiere una contraseña en el arranque, sino que solo revela la clave de cifrado a una imagen de arranque confiable. No he visto esto hecho en un servidor, pero creo que funcionaría. Espero que un atacante avanzado pueda sortear esto también.

Un atacante con acceso físico solo puede leer la memoria RAM si está altamente capacitado, al menos, suponiendo que aseguras lo básico como FireWire. Dado que los atacantes avanzados tienen otras rutas, no creo que Tresor te compre mucho. Mandos suena como una forma automatizada de suministrar la contraseña de arranque de forma remota; Espero que tenga los mismos riesgos que Dropbear.

En última instancia, para tomar las decisiones correctas, debe considerar el perfil de amenaza de un sistema específico. En la práctica, si no confía en su proveedor de alojamiento, tal vez la mejor opción sea cambiar a uno en el que realmente confíe, incluso si esto significa traer su centro de datos de manera interna.

    
respondido por el paj28 24.11.2013 - 21:22
fuente

Lea otras preguntas en las etiquetas

Localhost WebSocket defense ¿Cuáles son los pros y los contras de usar una contraseña segura en lugar de escribir las contraseñas en un papel?