Prévention du vol de données sur des serveurs déployés à distance exposés à un accès physique [fermé]

13

J'essaie de penser à un moyen de sécuriser les serveurs Linux qui sont exposés à un accès physique. Ma plate-forme spécifique est constituée de serveurs Linux à petit facteur de forme sur une carte mère alix2d13 de marque PC Engines . La petite taille présente un risque supplémentaire de retrait des locaux par un attaquant.

En supposant qu'il existe un accès physique au serveur:

1) MOT DE PASSE RACINE: vous connectez un câble de console au serveur et vous obtenez un mot de passe. Si vous ne connaissez pas le mot de passe, vous pouvez redémarrer la machine en mode mono-utilisateur et réinitialiser le mot de passe. Voilà, vous obtenez un accès root.

Afin de sécuriser ce qui précède, vous insérez un mot de passe dans le menu GRUB , donc lorsque le serveur est redémarré pour entrer en mode mono-utilisateur, vous devez fournir le mot de passe GRUB.

2) GRUB_PASSWORD. Si vous arrêtez la machine, sortez le disque dur et montez-le sur un autre poste de travail, vous pourrez parcourir le /bootrépertoire qui contient le fichier grub.cfg dans lequel vous pouvez trouver le mot de passe GRUB. Vous pouvez soit modifier le mot de passe GRUB, soit le supprimer.

Évidemment, lorsque nous parlons de grosses machines de production, il n'y aura probablement aucun accès physique et à part cela, même si quelqu'un obtient un accès physique au serveur, il ne le fermera pas.

Quelles sont les solutions possibles pour empêcher le vol de données sur des serveurs physiquement faciles à voler?

De la façon dont je le vois, un accès d'une manière ou d'une autre aux données contenues peut être obtenu.

Giomanda
la source
3
À moins que vous ne vouliez être présent pour entrer un mot de passe de déchiffrement à chaque démarrage, il n'y a pas grand-chose à faire. Le déchiffrement peut être effectué en communiquant avec un service réseau qui n'est disponible que tant qu'il se trouve sur le réseau approprié. Ce n'est pas très sûr, mais suffisant pour couvrir le cas où le voleur n'essaie pas d'accéder aux données lorsqu'il est sur place. Mais un attaquant ciblé pourrait même voler la machine sans la mettre hors tension. Je suppose qu'il ne faudrait pas beaucoup de capacité de la batterie pour la maintenir sous tension pendant quelques minutes.
kasperd
12
Enterrez-le dans le béton. Cela évitera certainement le vol!
Michael Hampton
14
Le modèle de menace n'est pas vraiment clair. Vous souhaitez un appareil invulnérable aux compromis physiques? Cela va être très complexe et coûteux. Les ordinateurs ne sont pas des coffres. Si vous voulez un coffre-fort, vous avez besoin d'un coffre-fort.
David Schwartz
3
@BlueCompute La question peut également se poser dans un environnement professionnel, elle devrait donc rester ici.
Nils
3
@giomanda Et c'est " modèle threa t ". Et cela signifie en partie que vous devez bien comprendre ce que vous sécurisez et de quoi vous le sécurisez. Vous pouvez utiliser SEAL Team Six pour défendre Fort Knox contre Al-Qaïda, mais pas pour défendre votre nouveau téléviseur plasma contre les voleurs du quartier.
David Schwartz

Réponses:

18

La règle à partir de laquelle j'ai toujours travaillé est qu'une fois qu'un attaquant a un accès physique à votre hôte, il peut éventuellement y pénétrer - à moins que, comme le dit kasperd, vous n'utilisiez un chiffrement fort sur tous les disques avec un mot de passe de démarrage et que vous soyez disposé à être là pour y entrer chaque fois que l'hôte démarre.

Andrew Schulman
la source
14
Et même alors, un accès physique pourrait remplacer le clavier utilisé pour entrer le mot de passe de démarrage et ainsi apprendre le mot de passe ...
Hagen von Eitzen
2
Solution @HagenvonEitzen: emportez votre propre clavier et inviolable le port USB (ou PS / 2) physique sur la boîte.
Jules
10
@JulesMazur Counterattack: Evil Maid re-flasher le firmware embarqué.
un CVn
1
@ MichaelKjörling Defense: mot de passe du firmware, boîtier serveur physiquement verrouillé.
Jules
6
@ MichaelKjörling, vous ne pouvez jamais être trop en sécurité avec des gangs de femmes de chambre malfaisantes détournant le clavier et / ou le firmware
Jules
10

La solution que je connais est de crypter le disque et d'utiliser un TPM: Trusted Platform Module

De cette façon, il est désormais possible de déchiffrer le disque dur comme suit:

Les applications de chiffrement de disque complet [...] peuvent utiliser cette technologie [TPM] pour protéger les clés utilisées pour chiffrer les disques durs de l'ordinateur et fournir une authentification d'intégrité pour une voie de démarrage de confiance (par exemple, BIOS, secteur de démarrage, etc.) Un certain nombre de les produits de chiffrement de disque complet tiers prennent également en charge le module de plateforme sécurisée. Cependant, TrueCrypt a décidé de ne pas l'utiliser. - Wikipédia

Bien sûr, je peux me tromper et le TPM peut être facilement craqué ou je ne connais pas d'autres solutions.

ColOfAbRiX
la source
C'est correct. Avec un TPM, un lecteur chiffré et la signature UEFI, il est impossible pour un étranger de lire le lecteur ou de modifier le chargeur de démarrage pour contourner le chiffrement.
longneck
Il serait intéressant de savoir s'il existe un stylo USB avec un TPM pour ajouter cette fonctionnalité à n'importe quel ordinateur.
ColOfAbRiX
1
Non, car le bios doit gérer le tpm.
longneck
3
Avec un accès physique, même le TPM ne fera pas grand-chose ... vous pouvez facilement renifler les données de la puce TPM lorsque la machine démarre, ou avoir accès à la mémoire entière de l'ordinateur sans que l'ordinateur ne s'en rende compte (et donc le TPM "descellera" "la clé très bien).
2
Le TPM tombera sur un périphérique PCI sur le bus qui ne répond pas à l'énumération PCI mais écrase le système d'exploitation via DMA plus tard.
joshudson
7

Le chiffrement complet du disque est une bonne idée pour les ordinateurs portables et les petits serveurs domestiques.

Le chiffrement complet du disque ne nécessite pas de module de plateforme sécurisée. Et même un TPM est incapable de vous protéger contre une attaque sophistiquée de femme de chambre maléfique . Donc, pour vraiment protéger votre petit serveur Linux domestique (ou un centre de données), vous avez besoin d'autres contre-mesures physiques appropriées.

Pour votre cas d'utilisation à domicile, il peut être suffisant d'installer du matériel de bricolage créatif qui:

  1. vous permet de reconnaître toute intrusion physique lorsque vous revenez et
  2. interrompt l'alimentation de votre ordinateur lors de toute tentative d'intrusion physique.

Pour les journalistes et les dénonciateurs qui font face à d'énormes entreprises ou à de puissantes agences gouvernementales comme leurs ennemis, cela n'est probablement pas encore suffisamment sécurisé. Ces trois agences peuvent avoir l' équipement médico - légal nécessaire pour récupérer le texte clair de la RAM même quelques minutes après la mise hors tension .

pefu
la source
7

Voici une solution simple: reconstruisez le noyau sans mode mono-utilisateur!

En termes plus appropriés, modifiez le noyau linux que vous utilisez afin que le mode S soit remappé sur le mode par défaut (3,4,5). De cette façon, toute tentative de démarrage en mode mono-utilisateur démarre normalement le système. Vous pourriez probablement faire la même chose dans les scripts d'initialisation. De cette façon, il n'y aurait aucun moyen spécial d'entrer dans le système sans connaître le mot de passe.

Arkain
la source
Si je peux toujours accéder à l'invite grub, je peux toujours changer les paramètres du noyau en init=/bin/bash. Cela vous démarrera dans un shell bash racine, où vous pourrez ensuite monter /.
Jens Timmerman
Grub peut toujours être configuré pour ne pas autoriser l'accès à son shell.
Arkain
Comme cela a déjà été indiqué dans d'autres réponses à cette question: si un attaquant qualifié obtient un accès physique à l'ordinateur, votre noyau de reconstruction n'est rien de plus qu'une vieille toile d'araignée sur le chemin de la tombe contenant vos précieux joyaux de données secrètes. :-)
pefu
3

Allez-y et demandez sur le site de l'électronique. Je suis à peu près sûr qu'il existe des conceptions SOC intégrées qui chiffrent tout et une fois que vous les fusionnez, il est "impossible" de procéder à une rétro-ingénierie.

Cela dit, j'étais à une présentation DefCon où l'équipe a montré exactement comment elle l'avait démonté. Dans de nombreux cas, les puces n'avaient pas été fusionnées, ou la conception de la puce incluait bêtement un port de débogage non connecté. Sur d'autres, ils ont retiré chimiquement les couches de puces et ont lu la puce au microscope électronique. Vous ne serez jamais à l'abri de pirates vraiment dévoués.

Zan Lynx
la source
1

J'aimerais proposer une approche différente, si vous êtes prêt à envisager des mesures préventives destructrices. Envisagez de souder un condensateur de grande capacité sur votre disque dur et votre RAM, qui lors de la détection de sabotage (vous décidez de la méthode / des capteurs) décharge les données destructrices.

Cela "empêche" l'accès dans le sens vide de personne ne peut accéder au système par la suite. Il répond donc à la question mot pour mot, tout en manquant peut-être complètement votre intention.

Un condensateur n'est qu'un exemple. D'autres possibilités existent. Le problème est que la destruction par les intempéries de l'appareil (ou au moins des données qu'il contient) est acceptable.

Une solution basée sur un minuteur est également possible - à moins que l'appareil ne puisse cingler à la maison toutes les quelques minutes / heures / ... il s'autodétruit. Beaucoup de possibilités différentes sur ce thème.

Dani_l
la source
Au moins un disque dur rotatif peut avoir ses plateaux transplantés sur un autre lecteur du même modèle, et ils liront très bien même si le PCB a été totalement détruit. (Je ne suis pas sûr des SSD, mais je ne m'attendrais pas à ce que cela soit beaucoup plus difficile.) C'est quelque chose que les entreprises de récupération de données font tout le temps. Si vous allez faire quelque chose comme ça avec un certain degré de certitude raisonnable (mais toujours pas certain!), Mettez un petit explosif dans les entrailles du lecteur. Fonctionne mieux avec les SSD qu'avec les disques durs rotatifs pour des raisons sans rapport avec la force destructrice prévue.
un CVn
@ MichaelKjörling Thermite est la voie à suivre. Les explosifs dans un disque dur nécessitent une explosion relativement importante pour réellement détruire les données. Vous détruirez le plateau supérieur si l'explosif se trouve réellement dans le lecteur, mais les plateaux du lecteur sont assez lourds, ils ne vont pas simplement incinérer sans une quantité plutôt dangereuse d'explosif. La thermite brûle à travers le métal plutôt bien.
DanielST
1

Une solution potentielle serait d'utiliser le cryptage complet du disque, de mettre la clé sur une clé USB / carte mémoire et de placer l'ordinateur dans une boîte métallique avec une seule porte avec un interrupteur d'ouverture, ainsi que des capteurs environnementaux.

Pour démarrer le périphérique une fois que vous avez mis la clé USB dans le port (à l'extérieur du "coffre-fort"), il lit la clé FDE à partir de là et démarre le système. Si le "coffre-fort" est ouvert, l'interrupteur d'ouverture réinitialisera le système et effacera la clé de la mémoire.

Si l'environnement le permet, vous pouvez ajouter plus de capteurs tels que la température, l'accélération, l'humidité, etc. Si un changement soudain est détecté dans les valeurs signalées, le système se réinitialise, donc si un voleur essaie simplement de prendre le système et de le mettre dans sa poche, il sera déjà réinitialisé avant même de le déconnecter de tous ses câbles.


la source