Un router self-build può minimizzare il rischio potenziale del motore di gestione di intels (ME)?

Naviga le tue risposte
5

Ho letto alcune cose su intels ME e mi sono interessato a causa della sua enorme potenziale minaccia per la sicurezza di fondamentalmente (più o meno) ogni sistema Intel dal 2008. E mi sono imbattuto nel grande lavoro di @ igor-skochinsky che ha fatto un buon lavoro presentazione delle cose che ha scoperto.

Non è possibile disabilitare ME in modo affidabile, né sostituirlo con un'immagine personalizzata. Ci sono tentativi di eliminare il più possibile senza eseguire contromisure ( link ). Quindi risolvere questo problema su una macchina in sé è un po 'difficile, ma cosa succede se viene affrontato al di fuori della macchina?

Poiché penso a costruire il mio router sicuro (magari usando un BSD come NetBSD, OpenBSD, ecc.) come punto di ingresso alla mia rete locale, ho iniziato a chiedermi se potevo proteggere ogni macchina Intel potenzialmente minacciata nella mia rete locale con un router fatto in casa che non contiene hardware di Intel o forse anche AMD (usano qualcosa chiamato PSP)?

Futher mi chiedevo se sarebbe migliorata la sicurezza del router riguardo a Intel ME quando si utilizza una scheda NIC via PCI nel router perché è detto che l'interfaccia di ME è disponibile solo sulla scheda NIC principale? Quello sarebbe il NIC della scheda madre, giusto?

E infine sarebbe sufficiente che il router abbia una sorta di lista bianca degli indirizzi MAC e IP che sono esplicitamente consentiti, dal momento che si dice che la ME abbia il proprio indirizzo MAC e IP? Voglio dire, potrei semplicemente aggiungere gli indirizzi di ogni dispositivo della rete locale alla lista bianca e quindi ogni tentativo di comunicazione o di creazione della ME non sarebbe più possibile?

Quindi l'idea è fondamentalmente una sorta di computer desktop che è indurito il più possibile ma senza andare a ruba. Ogni idea o suggerimento su come riempire questo obiettivo è apprezzato.

La mia prima domanda, spero che sia ok.

    
posta user6775658 27.06.2017 - 00:26
fonte

3 risposte

1

Recenti ricerche dimostrano che esiste un modo affidabile per disattivare ME ed è stato pubblicato di recente da Positive Technologies qui . C'è anche me_cleaner aggiunta implementazione per il cinturino HAP PCH.

Nel caso in cui il router fatto in casa e la potenziale minaccia di AMD PSP. IMO sarebbe molto difficile da implementare. Tieni presente che se i chip hanno accesso all'interfaccia di rete, può utilizzare la connessione protetta avviata dalla rete, quindi come dovresti differenziare tra i tuoi traffici diretti in uscita e quelli dannosi?

In caso di utilizzo della scheda di rete incorporata o esterna. Non c'è differenza, se si utilizza hardware o firmware potenzialmente non attendibili per il router, ma supponendo che si utilizzeranno hardware e firmware attendibili, è necessario assicurarsi che non vi sia alcuna ROM o scheda NIC esterna incorporata nel chip interno e altri componenti che possono interagire con NIC dietro la scena.

    
risposta data 30.09.2017 - 23:45
fonte
0

Se non stai utilizzando ME / AMT, disattivalo.

Se il tuo ME / AMT non è provvisto di rete (nel suo BIOS); e non hai il software / i driver installati per attivarlo, dovresti comunque essere sicuro.

Se ti affidi a un dispositivo di rete come il router per differenziare il traffico di gestione legittimo da quello malevolo (ovvero un ruolo IDS / IPS), allora ti conviene sperare che comprenda la firma del traffico del Attacchi AMT / ME.

    
risposta data 25.11.2017 - 00:54
fonte
0

Ho la sensazione che la tua domanda riguardi sia Intel ME che Intel AMT, quindi, prima di tutto, penso che dovremmo fare una distinzione tra Intel ME e Intel AMT:

  • Intel ME : è un sottosistema autonomo in esecuzione su un microprocessore separato, è incorporato in quasi tutti i chipset del processore Intel dal 2008. Esegue attività durante l'avvio, mentre il computer è in esecuzione e mentre è inattivo.

  • Intel AMT : è una tecnologia speciale per remote out -of-band management dei computer, e viene eseguito all'interno di Intel ME. In genere, Intel AMT è presente solo su PC di livello aziendale, ad esempio, molti portatili Lenovo Thinkpad ce l'hanno.

Mentre AMT può essere indisturbato dal proprietario, non esiste un modo ufficiale e documentato per disabilitare ME. Ci sono alcuni modi non ufficiali, ma spesso includono un lampeggiatore SPI hardware (vedi ME_Cleaner e Libreboot ).

[ Teniamo anche presente che il funzionamento interno di queste tecnologie è chiuso e nascosto, quindi è difficile tracciare linee precise su ciò che possono o non possono fare. ]

Con questo in mente vorrei fornire la seguente risposta:

  • Per quanto riguarda il router , Io uso un piccolo PC single-board con una CPU ARM con OpenWRT e l'ho impostato per eliminare tutto il traffico in entrata / in uscita sulle porte che Intel ME / AMT è noto per utilizzare. (Sebbene sia Intel ME / AMT closed source, è difficile dire se questo è sufficiente).

  • Per quanto riguarda la NIC sul PC , " .. La ME ha il proprio indirizzo MAC e IP per l'interfaccia out-of-band, con accesso diretto al controller Ethernet, una parte del traffico Ethernet viene deviata verso l'ME anche prima di raggiungere il sistema operativo dell'host , per quale supporto esiste in vari controller Ethernet .. " Pertanto, l'utilizzo di una scheda di rete non supportata sul proprio PC Intel (anziché utilizzare quello integrato) dovrebbe impedire a Intel ME / AMT di accedere alla rete. una scheda di rete USB sarebbe un modo sicuro per raggiungere questo obiettivo, grazie alle limitazioni / semplicità dello standard USB.

  • Riguardo alla tua ultima domanda , usando il router per autorizzare solo i MAC dei tuoi PC, è un'idea interessante, Spero che qualcuno con più intuizioni risponda a questo.

riferimenti :

link

link

    
risposta data 07.08.2018 - 00:32
fonte

Leggi altre domande sui tag

Attacco MITM sventato dalla rete? I log WAF mostrano password in chiaro e login in un'intestazione POST inviata tramite HTTPS