交換するRaspberry Piの物理sdカードを保護する
シナリオ:
会社には、ネットワーク環境に接続されているRaspberry Piがあります。悪意のある人は、SDカードを交換して自分のカードに置き換えると、Piが「スニファー」になり、他の有害な方法で使用される可能性があります。
このような攻撃を防ぐことについての私の考え:
攻撃者に対する物理的な障壁であるロックされたRaspberry Piケース。
この質問のトピックではありません:
SDカード上のデータを保護/暗号化します。
質問:
そのような脅威から保護する他の方法はありますか?
Piの起動に使用するsdカードでフルディスク暗号化を使用する必要があります。これを使用すると、攻撃者がSDカードを奪うと、その内容を読み取ることができなくなります。これにより、カードに保存されている802.1x資格情報が保護されます。
次に、ネットワークで802.1x認証を使用します。 802.1xでは、クライアントがIPアドレスを取得するためにログインとパスワードが必要です。有効なログインとパスワードがないと、攻撃者がネットワークケーブルを差し込んでも、Piはネットワークに参加できません。
これにより、キーボードとモニターをPiに接続し、ディスクパスワードと802.1x資格情報を入力する必要があります。このPiで安全な環境を実行する場合は、適切なディスクイメージを別の場所に保管し、Piがシャットダウンするたびにカードを再フラッシュします。これにより、攻撃者の侵入を防ぎ、Piをシャットダウンしてブートローダーをバックドアします(Evil Maid攻撃)。これは必須ですが、攻撃者が802.1x資格情報とフルディスク暗号化キーを同時に取得したくない場合を除きます。
ボーナスポイント:有効な資格情報がないと、監視されていない部屋に行ってラップトップを接続することはできません。
MACアドレス認証を忘れて、MACを変更するのは簡単です。
ドアをロックできる戸棚またはサーバーラックにPisを置くと、手間を最小限に抑えてトリックを実行できると思います。
ThoriumBRsの答えは本当に良いですが、セットアップが非常に複雑です。 Piがシャットダウンするたびにsdカードを再フラッシュすることは確かに選択肢ですが、非常にセキュリティ意識の高い雇用主(ハードウェアプラットフォームがRaspberry Piであるとは考えられない)で働いていない限り、これは実際には実装可能ではありません実際には。
Piには、正常なソフトウェアイメージだけが起動するようにするためのメカニズムはありません。また、攻撃者がイメージ内にあるものを見つけることができなくても、イメージを起動できるメカニズムはありません。
だからあなたのオプションは基本的にです。
- パイを物理的に固定します。
- ネットワークにアクセスするために必要な認証シークレットをRAMにのみ保持します。このアプローチの欠点は、停電が発生したときはいつでも、それらの秘密を再入力する必要があることです。
- ネットワークポートをロックダウンして、攻撃者がPiを危険にさらしたとしても、それがシステムの残りの部分に与えるダメージが制限されるようにします。
追伸MACアドレスの制限はあまり安全ではないことに注意してください。攻撃者がスニファを挿入し、正当なデバイスのMACアドレスを取得して、そのMACアドレスでデバイスを再構成するのは簡単です。