¿Cómo puede uno asegurarse de que cuando se utiliza PXE para iniciar un sistema operativo remoto, que los datos que se envían estén cifrados (o al menos que se mantenga la integridad)?
¿Sería posible obtener la iso con ssh?
No creo que la primera parte del arranque PXE pueda ser asegurada. Un servidor DHCP no autorizado podría secuestrar su instalación. Y TFTP ofrece exactamente cero seguridad.
Pero suponiendo que obtenga una respuesta del servidor DHCP correcto y extraiga el archivo de arranque del servidor TFTP correcto, la configuración podría hacer que el cliente se cargue a través de HTTPS, lo que proporcionaría tanto el cifrado como la autenticación.
Consulte, por ejemplo, este CÓMO para configurar un instalador PXE . Sustituya un servidor HTTPS en el archivo de configuración que se encuentra en la parte inferior.
iPXE tiene una opción para el transporte HTTPS de la imagen de arranque. Si codificó la IP en la iPXE OptionROM y la grabó en la tarjeta, eliminaría los problemas que surgen de la combinación DHCP / TFTP PXE (transferencia en claro, DHCP fraudulento, y ninguna verificación de integridad).
Puede encontrar más información sobre iPXE aquí:
y aquí:
Además, le recomiendo que configure su servidor DHCP para que solo sirva IP asignadas estáticas (una MAC, una IP); use un grupo de direcciones IP separadas para hacer el arranque de iPXE, aún mejor, use VLAN separadas; use un Firewall para evitar los paquetes DHCPDISCOVER y DHCPRESPONSE a través de la red, y permita solo dentro de vlan de confianza, ...
No use el PXE antiguo, en lugar de usar el nuevo iPXE y hacer que utilicen los protocolos seguros.
Si alguien tiene acceso físico a la caja puede controlarla, es solo cuestión de tiempo. : - /
Lea otras preguntas en las etiquetas encryption network