¿IOMMU previene los ataques DMA?

6

¿qué hace realmente IOMMU? ¿Administra el acceso a la memoria para dispositivos como MMU lo hace para los procesos o es algo más simplificado y no proporciona control de acceso / virtualización?

Básicamente, mi pregunta es: ¿IOMMU mitiga los ataques DMA?

    
pregunta sec 04.02.2017 - 17:16
fuente

1 respuesta

4

Este es el punto de vista de un programador de bajo nivel: sí, una IOMMU puede mitigar los ataques DMA. La IOMMU determina a qué parte de los dispositivos RAM pueden acceder. Si la IOMMU no permite que un dispositivo asigne una parte particular de la memoria, esa parte de la memoria es inmune a los ataques directos desde oa través de este dispositivo.

En la práctica, el aprovechamiento efectivo de la IOMMU puede ser difícil. Dependiendo de la arquitectura de la máquina, la IOMMU puede tener menos flexibilidad y una granularidad más gruesa que la MMU, por lo que el sistema operativo no siempre puede implementar la política de seguridad óptima. Los dispositivos se pueden multiplexar en el mismo bus de tal manera que diferentes dispositivos con diferentes requisitos y diferentes niveles de confianza tengan una configuración de IOMMU común, lo que requiere compromisos.

Entonces, tener un IOMMU ayuda, pero no es una defensa automática. Y, en términos prácticos, desde el punto de vista del administrador del sistema, tener una IOMMU no es suficiente, lo que importa es cómo lo configura el sistema operativo.

    
respondido por el Gilles 04.02.2017 - 18:45
fuente

Lea otras preguntas en las etiquetas