Instalación segura del sistema operativo de red PXE

10

¿Cómo puede uno asegurarse de que cuando se utiliza PXE para iniciar un sistema operativo remoto, que los datos que se envían estén cifrados (o al menos que se mantenga la integridad)?

¿Sería posible obtener la iso con ssh?

    
pregunta Rob 18.12.2011 - 16:42
fuente

3 respuestas

3

No creo que la primera parte del arranque PXE pueda ser asegurada. Un servidor DHCP no autorizado podría secuestrar su instalación. Y TFTP ofrece exactamente cero seguridad.

Pero suponiendo que obtenga una respuesta del servidor DHCP correcto y extraiga el archivo de arranque del servidor TFTP correcto, la configuración podría hacer que el cliente se cargue a través de HTTPS, lo que proporcionaría tanto el cifrado como la autenticación.

Consulte, por ejemplo, este CÓMO para configurar un instalador PXE . Sustituya un servidor HTTPS en el archivo de configuración que se encuentra en la parte inferior.

    
respondido por el bstpierre 18.12.2011 - 20:20
fuente
3

iPXE tiene una opción para el transporte HTTPS de la imagen de arranque. Si codificó la IP en la iPXE OptionROM y la grabó en la tarjeta, eliminaría los problemas que surgen de la combinación DHCP / TFTP PXE (transferencia en claro, DHCP fraudulento, y ninguna verificación de integridad).

    
respondido por el Marcin 19.12.2011 - 04:11
fuente
0

Puede encontrar más información sobre iPXE aquí:

  

enlace

y aquí:

  

enlace

Además, le recomiendo que configure su servidor DHCP para que solo sirva IP asignadas estáticas (una MAC, una IP); use un grupo de direcciones IP separadas para hacer el arranque de iPXE, aún mejor, use VLAN separadas; use un Firewall para evitar los paquetes DHCPDISCOVER y DHCPRESPONSE a través de la red, y permita solo dentro de vlan de confianza, ...

No use el PXE antiguo, en lugar de usar el nuevo iPXE y hacer que utilicen los protocolos seguros.

Si alguien tiene acceso físico a la caja puede controlarla, es solo cuestión de tiempo. : - /

    
respondido por el solracws 25.04.2013 - 12:40
fuente

Lea otras preguntas en las etiquetas