web-dev-qa-db-fra.com

Comment désactiver FireWire à OpenBSD / Linux pour empêcher les attaques via FireWire?

Depuis Firewire manque de sécurité , permettant à un périphérique branché d'accéder à la mémoire d'accueil, c'est une bonne chose à désactiver complètement. Si nous n'utilisons pas le BIOS pour désactiver le port Firewire, comment pouvons-nous le faire en utilisant des "méthodes logicielles"? L'OS fonctionnant sur le PC est OpenBSD ou Fedora ou Ubuntu.

Edit: Est-il suffisant de désactiver la prise en charge du FireWire dans le système d'exploitation pour empêcher un dispositif d'attaque Firewire d'accéder à la mémoire? Quelles mesures sont nécessaires pour empêcher ce type de menace?

11
LanceBaynes
1
LanceBaynes

Méthode logicielle:

  • Désactivez le conducteur Firewire/recompiler le noyau

La désactivation du pilote Firewire empêche l'utilisation d'un périphérique FireWire, car il désactive le contrôleur de matériel Firewire. Pour que les attaques de travailler plusieurs exigences existent: le conducteur doit être chargé de manière à ce que le contrôleur soit initialisé (maîtrisage des bus, etc.), il doit être configuré pour "ouvrir l'accès" et non par périphérique, et DMA doit être activé. (OHCI1394 avait une option DMA désactivée).

Les pilotes FireWire Ubuntu sont des modules de noyau. Il existe un moyen facile de les afficher: Open /etc/modprobe.d/blacklist-firewire.conf, vous y trouverez une liste de modules pour être sur la liste noire.

blacklist ohci1394
blacklist sbp2
blacklist dv1394
blacklist raw1394
blacklist video1394
#blacklist firewire-ohci
#blacklist firewire-sbp2

Il suffit de supprimer le # devant tout et sauver-le. Puis courez Sudo update-initramfs -k all -u

Autres méthodes:

  • Désactiver les ports Firewire dans le BIOS
  • Scellez les ports réels, comme souvent faites pour les ports USB dans certains environnements.
9
john

La compilation d'un noyau personnalisé qui manque de support de périphérique pour l'interface Firewire devrait suffire. Qu'est-ce qui vous empêche de limiter l'accès à ces périphériques par des paramètres d'autorisations?

Supprimer le pilote empêchera les périphériques branchés d'établir DMA Transferts:

3
Jeff Ferland

... Vous pouvez également régler l'accès aux périphériques utilisant/etc/fbbab

http://www.openbsd.org/cgi-bin/man.cgi?query=fbttab&sektion=5&apropos=0&manpath=OPENBSD+Current&arch=i386

basé sur une connexion via Firewire/USB/autres ports, tout peut être désactivé

1
maurice