IOMMU impedisce gli attacchi DMA?

6

cosa fa realmente IOMMU, gestisce l'accesso alla memoria per dispositivi come MMU per processi o è una cosa più semplificata e non fornisce controllo di virtualizzazione / accesso?

Quindi sostanzialmente la mia domanda è: IOMMU attenua gli attacchi DMA?

    
posta sec 04.02.2017 - 17:16
fonte

1 risposta

4

Ecco un punto di vista del programmatore di basso livello: sì, un IOMMU può mitigare gli attacchi DMA. L'IOMMU determina a quale parte dei dispositivi RAM può accedere. Se IOMMU non consente a un dispositivo di mappare una particolare parte della memoria, allora quella parte della memoria è immune agli attacchi diretti da o attraverso questo dispositivo.

In pratica, fare leva efficacemente sull'IOMMU può essere difficile. A seconda dell'architettura della macchina, l'IOMMU può avere meno flessibilità e una granularità più grossolana della MMU, in modo che il sistema operativo non possa sempre implementare la politica di sicurezza ottimale. I dispositivi possono essere multiplexati sullo stesso bus in modo tale che diversi dispositivi con requisiti diversi e diversi livelli di affidabilità abbiano una configurazione IOMMU comune, che richiede compromessi.

Quindi avere un IOMMU aiuta, ma non è una difesa automatica. E, in termini pratici dal punto di vista dell'amministratore di sistema, avere un IOMMU non è sufficiente, ciò che importa è come il sistema operativo lo configura.

    
risposta data 04.02.2017 - 18:45
fonte

Leggi altre domande sui tag