J'aimerais savoir s'il est possible de securiser le boot via PXE? En effet
lors d'un boot via PXE, le bios fait une requete DHCP, dans la reponse a
cette requete ce trouve l'adresse d'un serveur tftp, et le chemin du fichier
sur lequel booter. Le probleme vous l'aurez devinez, et que si quelqun
installe son propre serveur DHCP pour booter sur son propre fichier alors il
pourais faire ce qu'il souhaite sur les machines qui boote via PXE.
J'aimerais savoir s'il existe une solution pour remedier a ce probleme?
(c'est dans le cadre d'une automatisation de la restauration de PC)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Cedric Blancher
Le Wed, 08 Jun 2005 11:10:36 +0000, Stirner a écrit :
J'aimerais savoir s'il est possible de securiser le boot via PXE? En effet lors d'un boot via PXE, le bios fait une requete DHCP
DHCP est un protocole qui n'est pas sûr par essence. La RFC est très claire là-dessus :
7. Security Considerations
DHCP is built directly on UDP and IP which are as yet inherently insecure. Furthermore, DHCP is generally intended to make maintenance of remote and/or diskless hosts easier. While perhaps not impossible, configuring such hosts with passwords or keys may be difficult and inconvenient. Therefore, DHCP in its current form is quite insecure.
Unauthorized DHCP servers may be easily set up. Such servers can then send false and potentially disruptive information to clients such as incorrect or duplicate IP addresses, incorrect routing information (including spoof routers, etc.), incorrect domain nameserver addresses (such as spoof nameservers), and so on. Clearly, once this seed information is in place, an attacker can further compromise affected systems.
Malicious DHCP clients could masquerade as legitimate clients and retrieve information intended for those legitimate clients. Where dynamic allocation of resources is used, a malicious client could claim all resources for itself, thereby denying resources to legitimate clients.
Ça va donc être un peu difficile...
Il y avait eu des réflexions sur la possibilité d'intégrer un mécanisme d'authentification à DHCP, mais les seuls travaux que j'ai vu offraient une authentification (en clair) du client auprès du serveur et pas le contraire.
D'une part les crédences partaient sur le réseau vers qui voulait les lire, et d'autre part, un client légitime ne pouvait vérifier l'identié du serveur qui lui répondait. Donc...
Voilà. Une 40e de lignes sans faire avancer le schmiblick d'un pouce :)
-- BOFH excuse #224:
Jan 9 16:41:27 huber su: 'su root' succeeded for .... on /dev/pts/1
Le Wed, 08 Jun 2005 11:10:36 +0000, Stirner a écrit :
J'aimerais savoir s'il est possible de securiser le boot via PXE? En effet
lors d'un boot via PXE, le bios fait une requete DHCP
DHCP est un protocole qui n'est pas sûr par essence. La RFC est très
claire là-dessus :
7. Security Considerations
DHCP is built directly on UDP and IP which are as yet inherently
insecure. Furthermore, DHCP is generally intended to make
maintenance of remote and/or diskless hosts easier. While perhaps
not impossible, configuring such hosts with passwords or keys may be
difficult and inconvenient. Therefore, DHCP in its current form is
quite insecure.
Unauthorized DHCP servers may be easily set up. Such servers can
then send false and potentially disruptive information to clients
such as incorrect or duplicate IP addresses, incorrect routing
information (including spoof routers, etc.), incorrect domain
nameserver addresses (such as spoof nameservers), and so on.
Clearly, once this seed information is in place, an attacker can
further compromise affected systems.
Malicious DHCP clients could masquerade as legitimate clients and
retrieve information intended for those legitimate clients. Where
dynamic allocation of resources is used, a malicious client could
claim all resources for itself, thereby denying resources to
legitimate clients.
Ça va donc être un peu difficile...
Il y avait eu des réflexions sur la possibilité d'intégrer un mécanisme
d'authentification à DHCP, mais les seuls travaux que j'ai vu offraient
une authentification (en clair) du client auprès du serveur et pas le
contraire.
D'une part les crédences partaient sur le réseau vers qui voulait les
lire, et d'autre part, un client légitime ne pouvait vérifier l'identié
du serveur qui lui répondait. Donc...
Voilà. Une 40e de lignes sans faire avancer le schmiblick d'un pouce :)
--
BOFH excuse #224:
Jan 9 16:41:27 huber su: 'su root' succeeded for .... on /dev/pts/1
Le Wed, 08 Jun 2005 11:10:36 +0000, Stirner a écrit :
J'aimerais savoir s'il est possible de securiser le boot via PXE? En effet lors d'un boot via PXE, le bios fait une requete DHCP
DHCP est un protocole qui n'est pas sûr par essence. La RFC est très claire là-dessus :
7. Security Considerations
DHCP is built directly on UDP and IP which are as yet inherently insecure. Furthermore, DHCP is generally intended to make maintenance of remote and/or diskless hosts easier. While perhaps not impossible, configuring such hosts with passwords or keys may be difficult and inconvenient. Therefore, DHCP in its current form is quite insecure.
Unauthorized DHCP servers may be easily set up. Such servers can then send false and potentially disruptive information to clients such as incorrect or duplicate IP addresses, incorrect routing information (including spoof routers, etc.), incorrect domain nameserver addresses (such as spoof nameservers), and so on. Clearly, once this seed information is in place, an attacker can further compromise affected systems.
Malicious DHCP clients could masquerade as legitimate clients and retrieve information intended for those legitimate clients. Where dynamic allocation of resources is used, a malicious client could claim all resources for itself, thereby denying resources to legitimate clients.
Ça va donc être un peu difficile...
Il y avait eu des réflexions sur la possibilité d'intégrer un mécanisme d'authentification à DHCP, mais les seuls travaux que j'ai vu offraient une authentification (en clair) du client auprès du serveur et pas le contraire.
D'une part les crédences partaient sur le réseau vers qui voulait les lire, et d'autre part, un client légitime ne pouvait vérifier l'identié du serveur qui lui répondait. Donc...
Voilà. Une 40e de lignes sans faire avancer le schmiblick d'un pouce :)
-- BOFH excuse #224:
Jan 9 16:41:27 huber su: 'su root' succeeded for .... on /dev/pts/1
Manu
Stirner wrote:
Bonjour
Bonjour,
Tout d'abord je tiens à dire que je n'ai pas de réponse à la question :)
installe son propre serveur DHCP pour booter sur son propre fichier alors il pourais faire ce qu'il souhaite sur les machines qui boote via PXE.
Pour installer un serveur DHCP il faut : - soit qu'un personne puisse connecter un ordinateur, sur lequel il a tout les droits, sur le réseau - soit que sur les machines classiques une personne puisse obtenir assez de droits pour réaliser cela (boot sur CD, disquette, privilèges trop haut sur l'OS, ...)
Peut-être que la politique de sécurité est à revoir si un de ces cas est possible.
J'aimerais savoir s'il existe une solution pour remedier a ce probleme? (c'est dans le cadre d'une automatisation de la restauration de PC)
Sur une machine Compaq récemment j'ai été incapable de booter sur CD ou disquette. J'ai mis du temps à comprendre car il y avait une option cryptique dans le BIOS, nommée "UUID" qui à mon avis vérifie la validité du secteur de boot. Peut-etre cela vérifie une sorte de signature du secteur boot ou que le boot est "chiffré" par un bête XOR (il était égalamenent possible de changer une sorte d'identifiant dans le BIOS...).
Stirner wrote:
Bonjour
Bonjour,
Tout d'abord je tiens à dire que je n'ai pas de réponse à la question :)
installe son propre serveur DHCP pour booter sur son propre fichier alors il
pourais faire ce qu'il souhaite sur les machines qui boote via PXE.
Pour installer un serveur DHCP il faut :
- soit qu'un personne puisse connecter un ordinateur, sur lequel il a
tout les droits, sur le réseau
- soit que sur les machines classiques une personne puisse obtenir assez
de droits pour réaliser cela (boot sur CD, disquette, privilèges trop
haut sur l'OS, ...)
Peut-être que la politique de sécurité est à revoir si un de ces cas est
possible.
J'aimerais savoir s'il existe une solution pour remedier a ce probleme?
(c'est dans le cadre d'une automatisation de la restauration de PC)
Sur une machine Compaq récemment j'ai été incapable de booter sur CD ou
disquette. J'ai mis du temps à comprendre car il y avait une option
cryptique dans le BIOS, nommée "UUID" qui à mon avis vérifie la validité
du secteur de boot. Peut-etre cela vérifie une sorte de signature du
secteur boot ou que le boot est "chiffré" par un bête XOR (il était
égalamenent possible de changer une sorte d'identifiant dans le BIOS...).
Tout d'abord je tiens à dire que je n'ai pas de réponse à la question :)
installe son propre serveur DHCP pour booter sur son propre fichier alors il pourais faire ce qu'il souhaite sur les machines qui boote via PXE.
Pour installer un serveur DHCP il faut : - soit qu'un personne puisse connecter un ordinateur, sur lequel il a tout les droits, sur le réseau - soit que sur les machines classiques une personne puisse obtenir assez de droits pour réaliser cela (boot sur CD, disquette, privilèges trop haut sur l'OS, ...)
Peut-être que la politique de sécurité est à revoir si un de ces cas est possible.
J'aimerais savoir s'il existe une solution pour remedier a ce probleme? (c'est dans le cadre d'une automatisation de la restauration de PC)
Sur une machine Compaq récemment j'ai été incapable de booter sur CD ou disquette. J'ai mis du temps à comprendre car il y avait une option cryptique dans le BIOS, nommée "UUID" qui à mon avis vérifie la validité du secteur de boot. Peut-etre cela vérifie une sorte de signature du secteur boot ou que le boot est "chiffré" par un bête XOR (il était égalamenent possible de changer une sorte d'identifiant dans le BIOS...).
Fabien LE LEZ
On 08 Jun 2005 14:49:20 GMT, Frederic PANES :
c'est un cas intéressant, mais quel intérêt d'installer une autre image client sur un poste si l'on a pas les accès administrateurs qui vont bien sur le réseau.
Installer une image identique à l'image "normale", mais avec un keylogger en plus ?
On 08 Jun 2005 14:49:20 GMT, Frederic PANES
<fpanes@enlevezceci.free.fr>:
c'est un cas intéressant, mais quel intérêt d'installer une autre image
client sur un poste si l'on a pas les accès administrateurs qui vont
bien sur le réseau.
Installer une image identique à l'image "normale", mais avec un
keylogger en plus ?
c'est un cas intéressant, mais quel intérêt d'installer une autre image client sur un poste si l'on a pas les accès administrateurs qui vont bien sur le réseau.
Installer une image identique à l'image "normale", mais avec un keylogger en plus ?
Stirner
"Frederic PANES" a écrit dans le message de news:
Bonjour
J'aimerais savoir s'il est possible de securiser le boot via PXE? En effet
lors d'un boot via PXE, le bios fait une requete DHCP, dans la reponse a cette requete ce trouve l'adresse d'un serveur tftp, et le chemin du fichier
sur lequel booter. Le probleme vous l'aurez devinez, et que si quelqun installe son propre serveur DHCP pour booter sur son propre fichier alors il
pourais faire ce qu'il souhaite sur les machines qui boote via PXE. J'aimerais savoir s'il existe une solution pour remedier a ce probleme? (c'est dans le cadre d'une automatisation de la restauration de PC)
Bonjour,
c'est un cas intéressant, mais quel intérêt d'installer une autre image client sur un poste si l'on a pas les accès administrateurs qui vont bien sur le réseau. A part pouvoir installer un sniffer sur une machine sur laquelle on n'est pas censé avoir les droits suffisants...
Ils peuvent faire tout un tas de choses, croyez moi.
Je ne sais pas quel est le niveau de vos utilisateurs et leur domaine de compétence, mais je doute qu'ils soient en mesure de réaliser ce que vous craignez.
Ce sont des etudiants en informatique, c'est bien ca le probleme ;).
"Frederic PANES" <fpanes@enlevezceci.free.fr> a écrit dans le message de
news: mn.43d87d56e24db2a0.21764@enlevezceci.free.fr...
Bonjour
J'aimerais savoir s'il est possible de securiser le boot via PXE? En
effet
lors d'un boot via PXE, le bios fait une requete DHCP, dans la reponse a
cette requete ce trouve l'adresse d'un serveur tftp, et le chemin du
fichier
sur lequel booter. Le probleme vous l'aurez devinez, et que si quelqun
installe son propre serveur DHCP pour booter sur son propre fichier
alors il
pourais faire ce qu'il souhaite sur les machines qui boote via PXE.
J'aimerais savoir s'il existe une solution pour remedier a ce probleme?
(c'est dans le cadre d'une automatisation de la restauration de PC)
Bonjour,
c'est un cas intéressant, mais quel intérêt d'installer une autre image
client sur un poste si l'on a pas les accès administrateurs qui vont
bien sur le réseau.
A part pouvoir installer un sniffer sur une machine sur laquelle on
n'est pas censé avoir les droits suffisants...
Ils peuvent faire tout un tas de choses, croyez moi.
Je ne sais pas quel est le niveau de vos utilisateurs et leur domaine
de compétence, mais je doute qu'ils soient en mesure de réaliser ce que
vous craignez.
Ce sont des etudiants en informatique, c'est bien ca le probleme ;).
J'aimerais savoir s'il est possible de securiser le boot via PXE? En effet
lors d'un boot via PXE, le bios fait une requete DHCP, dans la reponse a cette requete ce trouve l'adresse d'un serveur tftp, et le chemin du fichier
sur lequel booter. Le probleme vous l'aurez devinez, et que si quelqun installe son propre serveur DHCP pour booter sur son propre fichier alors il
pourais faire ce qu'il souhaite sur les machines qui boote via PXE. J'aimerais savoir s'il existe une solution pour remedier a ce probleme? (c'est dans le cadre d'une automatisation de la restauration de PC)
Bonjour,
c'est un cas intéressant, mais quel intérêt d'installer une autre image client sur un poste si l'on a pas les accès administrateurs qui vont bien sur le réseau. A part pouvoir installer un sniffer sur une machine sur laquelle on n'est pas censé avoir les droits suffisants...
Ils peuvent faire tout un tas de choses, croyez moi.
Je ne sais pas quel est le niveau de vos utilisateurs et leur domaine de compétence, mais je doute qu'ils soient en mesure de réaliser ce que vous craignez.
Ce sont des etudiants en informatique, c'est bien ca le probleme ;).
Cedric Blancher
Le Thu, 09 Jun 2005 08:40:45 +0000, Stirner a écrit :
Ils peuvent faire tout un tas de choses, croyez moi.
Ils ont des cours données de sécurité par des professeurs au point de vue... "contre-productif" ? :)
Ce sont des etudiants en informatique, c'est bien ca le probleme ;).
Je pense que le mieux est de laisser tomber la mise en place de mesures lourdes et peu efficaces, et de considérer une fois pour toutes l'environnement comme non sûr pour mieux le cloisonner et mettre en place un ségrégation correcte vis-à-vis du reste de l'architecture. Leur monter un gros bac à sable en quelque sorte.
La cerise sur le gâteau pourra être de mettre en place quelques outils de surveillance au milieu de ce réseau pour remonter les bretelles aux moins malins dans l'espoir (faible) de décourager la majorité. Les autres, les plus décidés et compétents, parviendront à faire des conneries, l'important étant alors de les bloquer en sortie du bocal.
De plus, par expérience, il est extrêmement formateur de les laisser s'amuser un peu avec un réseau, tant que ça reste bon-enfant et plus ou moins ouvert.
My 0.02¤...
-- Je viens d'adopter une limace (elle s'appele "Chompie"), et j'ai trouve des infos sur un site qui n'a pas ete mis a jour depuis des siecles! Meme si l'auteur ne s'y interesse plus, le site garde tout son interet. -+- P in : Guide du Neuneu d'Usenet - L'êre des limaces média -+-
Le Thu, 09 Jun 2005 08:40:45 +0000, Stirner a écrit :
Ils peuvent faire tout un tas de choses, croyez moi.
Ils ont des cours données de sécurité par des professeurs au point de
vue... "contre-productif" ? :)
Ce sont des etudiants en informatique, c'est bien ca le probleme ;).
Je pense que le mieux est de laisser tomber la mise en place de mesures
lourdes et peu efficaces, et de considérer une fois pour toutes
l'environnement comme non sûr pour mieux le cloisonner et mettre en place
un ségrégation correcte vis-à-vis du reste de l'architecture. Leur
monter un gros bac à sable en quelque sorte.
La cerise sur le gâteau pourra être de mettre en place quelques outils
de surveillance au milieu de ce réseau pour remonter les bretelles aux
moins malins dans l'espoir (faible) de décourager la majorité. Les
autres, les plus décidés et compétents, parviendront à faire des
conneries, l'important étant alors de les bloquer en sortie du bocal.
De plus, par expérience, il est extrêmement formateur de les laisser
s'amuser un peu avec un réseau, tant que ça reste bon-enfant et plus ou
moins ouvert.
My 0.02¤...
--
Je viens d'adopter une limace (elle s'appele "Chompie"), et j'ai trouve
des infos sur un site qui n'a pas ete mis a jour depuis des siecles!
Meme si l'auteur ne s'y interesse plus, le site garde tout son interet.
-+- P in : Guide du Neuneu d'Usenet - L'êre des limaces média -+-
Le Thu, 09 Jun 2005 08:40:45 +0000, Stirner a écrit :
Ils peuvent faire tout un tas de choses, croyez moi.
Ils ont des cours données de sécurité par des professeurs au point de vue... "contre-productif" ? :)
Ce sont des etudiants en informatique, c'est bien ca le probleme ;).
Je pense que le mieux est de laisser tomber la mise en place de mesures lourdes et peu efficaces, et de considérer une fois pour toutes l'environnement comme non sûr pour mieux le cloisonner et mettre en place un ségrégation correcte vis-à-vis du reste de l'architecture. Leur monter un gros bac à sable en quelque sorte.
La cerise sur le gâteau pourra être de mettre en place quelques outils de surveillance au milieu de ce réseau pour remonter les bretelles aux moins malins dans l'espoir (faible) de décourager la majorité. Les autres, les plus décidés et compétents, parviendront à faire des conneries, l'important étant alors de les bloquer en sortie du bocal.
De plus, par expérience, il est extrêmement formateur de les laisser s'amuser un peu avec un réseau, tant que ça reste bon-enfant et plus ou moins ouvert.
My 0.02¤...
-- Je viens d'adopter une limace (elle s'appele "Chompie"), et j'ai trouve des infos sur un site qui n'a pas ete mis a jour depuis des siecles! Meme si l'auteur ne s'y interesse plus, le site garde tout son interet. -+- P in : Guide du Neuneu d'Usenet - L'êre des limaces média -+-
Manu
Stirner wrote:
Ce sont des etudiants en informatique, c'est bien ca le probleme ;).
Quels serait leur interet de contourner le systême existant s'ils ont assez de droits pour mettre en place un systême de contournement du systême actuel ?
Sinon au lieu d'empêcher, essayer de mettre en place un systême de détection de serveur DHCP avec alerte par SMS. Je pense que si vous avez la capacité à détecter les moindres écarts et que vous leur tombez dessus à ce moment là, ça peut les calmer un peu. Mais il faut expérimenter aussi dans la vie, et tout le monde ne peut pas avoir accès à ces ressources. Dans ce cas monter un mini réseau de au moins 2 ou 3 machines en accès libre total et non connectées au reste du réseau peut-être interessant pour eux.
Mes 0,02 euros...
Stirner wrote:
Ce sont des etudiants en informatique, c'est bien ca le probleme ;).
Quels serait leur interet de contourner le systême existant s'ils ont
assez de droits pour mettre en place un systême de contournement du
systême actuel ?
Sinon au lieu d'empêcher, essayer de mettre en place un systême de
détection de serveur DHCP avec alerte par SMS. Je pense que si vous avez
la capacité à détecter les moindres écarts et que vous leur tombez
dessus à ce moment là, ça peut les calmer un peu.
Mais il faut expérimenter aussi dans la vie, et tout le monde ne peut
pas avoir accès à ces ressources. Dans ce cas monter un mini réseau de
au moins 2 ou 3 machines en accès libre total et non connectées au reste
du réseau peut-être interessant pour eux.
Ce sont des etudiants en informatique, c'est bien ca le probleme ;).
Quels serait leur interet de contourner le systême existant s'ils ont assez de droits pour mettre en place un systême de contournement du systême actuel ?
Sinon au lieu d'empêcher, essayer de mettre en place un systême de détection de serveur DHCP avec alerte par SMS. Je pense que si vous avez la capacité à détecter les moindres écarts et que vous leur tombez dessus à ce moment là, ça peut les calmer un peu. Mais il faut expérimenter aussi dans la vie, et tout le monde ne peut pas avoir accès à ces ressources. Dans ce cas monter un mini réseau de au moins 2 ou 3 machines en accès libre total et non connectées au reste du réseau peut-être interessant pour eux.
Mes 0,02 euros...
kevin
Stirner wrote:
<probleme securisation PXE>
J'aimerais savoir s'il existe une solution pour remedier a ce probleme? (c'est dans le cadre d'une automatisation de la restauration de PC)
Et une solution alternative?
J'avais experimente une solution pour restaurer des windows.
Sur chaque PC, une partition 1 en NTFS, le windows dessus. Sur une partition 2, un linux minimal, le programme partimage et l'image du systeme windows.
Un lilo avec mot de passe.
Pour restaurer: le boot lilo, et on descend l'image propre sur la partition 1, ca prend 10mn, et reboot final sur le win.
Ca fonctionne bien, c'est simple et relativement "etudiant-proof".
Ca a l'inconvenient de devoir retourner sur chaque machine lors de mises a jour systemes, mais ca reste dans le domaine du possible.
A noter que partimage propose un serveur avec authentification.
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Stirner wrote:
<probleme securisation PXE>
J'aimerais savoir s'il existe une solution pour remedier a ce probleme?
(c'est dans le cadre d'une automatisation de la restauration de PC)
Et une solution alternative?
J'avais experimente une solution pour restaurer des windows.
Sur chaque PC, une partition 1 en NTFS, le windows dessus.
Sur une partition 2, un linux minimal, le programme partimage
et l'image du systeme windows.
Un lilo avec mot de passe.
Pour restaurer: le boot lilo, et on descend l'image propre sur la
partition 1, ca prend 10mn, et reboot final sur le win.
Ca fonctionne bien, c'est simple et relativement "etudiant-proof".
Ca a l'inconvenient de devoir retourner sur chaque machine lors
de mises a jour systemes, mais ca reste dans le domaine du
possible.
A noter que partimage propose un serveur avec authentification.
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
J'aimerais savoir s'il existe une solution pour remedier a ce probleme? (c'est dans le cadre d'une automatisation de la restauration de PC)
Et une solution alternative?
J'avais experimente une solution pour restaurer des windows.
Sur chaque PC, une partition 1 en NTFS, le windows dessus. Sur une partition 2, un linux minimal, le programme partimage et l'image du systeme windows.
Un lilo avec mot de passe.
Pour restaurer: le boot lilo, et on descend l'image propre sur la partition 1, ca prend 10mn, et reboot final sur le win.
Ca fonctionne bien, c'est simple et relativement "etudiant-proof".
Ca a l'inconvenient de devoir retourner sur chaque machine lors de mises a jour systemes, mais ca reste dans le domaine du possible.
A noter que partimage propose un serveur avec authentification.
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Fabien LE LEZ
On 09 Jun 2005 16:30:46 GMT, (Kevin):
Sur chaque PC, une partition 1 en NTFS, le windows dessus. Sur une partition 2, un linux minimal, le programme partimage et l'image du systeme windows.
Ce sont des etudiants en informatique, c'est bien ca le probleme
On 09 Jun 2005 16:30:46 GMT, kevin@nowhere.invalid (Kevin):
Sur chaque PC, une partition 1 en NTFS, le windows dessus.
Sur une partition 2, un linux minimal, le programme partimage
et l'image du systeme windows.
Ce sont des etudiants en informatique, c'est bien ca le probleme
Sur chaque PC, une partition 1 en NTFS, le windows dessus. Sur une partition 2, un linux minimal, le programme partimage et l'image du systeme windows.
Ce sont des etudiants en informatique, c'est bien ca le probleme
