Защита от удаленного управления физическим вводом PIN-кода.

[keenet07]

Предлагаю внедрить систему защиты привилегированных команд путем ввода секретного pin-кода на аппаратном уровне одной из кнопок устройства. Для этого потребуется:

1) Ввести новый привилегированный уровень доступа для пользователя, условно назвать его режим sudo.

В этом режиме работали бы те команды которые должны быть защищены особым образом. Сюда можно отнести в том числе команду для включения/отключения удаленного обновления прошивки кем бы то ни было кроме владельца устройства.

Как это работает? Для повышения уровня доступа до sudo необходимо будет ввести секретный pin-код с помощью одной из физических кнопок на роутере. Это может быть любая кнопка, например та, что отключает WIFI. Таким образом система должна удостовериться, что владелец действует целенаправленно физически присутствуя рядом с устройством. Данный режим может быть активен в течение определенного заданного времени, а затем отключается.

Сам pin-код устанавливается при первоначальной настройке устройства и сохраняется в защищенном месте в виде хэш. Сочетание физический доступ и знание секретного pin-кода защитит от некоторых способов неправомерного физического доступа к устройству третьих лиц. Исключит воздействия методами социальной инженерии. Т.е. злоумышленник получивший удаленный доступ не сможет кого-то попросить нажать что-то на устройстве для перехода в защищенный режим, т.к. потребуется pin-код.

Пример: pin-код 324 это три быстрых нажатия на кнопку, пауза, два быстрых, пауза, четыре быстрых.

Переход в режим ввода pin-кода может инициироваться, например командой sudo и сопровождаться какой-либо индикацией с помощью светодиодов устройства.

2) Добавить функционал назначения повышенных привилегий выполнения для определенного перечня команд который пользователь выберет самостоятельно. (крайне желательно). Либо только что-то из предложенного перечня команд, которые производитель  предпочтет защитить таким образом.

В этот перечень можно включить: непосредственно редактирование этого списка, функцию удаленного обновления, включая ручное, смену различных паролей на устройстве (админа, wifi и прочего), запуск/остановка определенных служб (FTP, VPN, SSH и прочее), обновление прошивки и всё остальное, что может быть критично в плане безопасности при удаленном доступе.

Что это даст? Во-первых, сами выбираем что и от чего защищаем. Ограничиваем возможности, если требуется, для удаленного изменения выбранных настроек. Например, нельзя будет удаленно включить возможность принудительного обновления. Это из насущного. )

Дальше, можно будет запретить определенные действия или изменения при любом виде удаленного доступа, будь то web, SSH, telnet или облачный доступ через приложение мобильного устройства. Выбрать команды (каждый для себя сам определит, что для него критично) которые сработают только при физическом доступе к устройству.

Получаем полный контроль доступа. Невозможность изменить удаленно, что-то лишнее.

Иногда конечно требуется полный удаленный доступ, вот для этого и нужно, чтоб можно было выбрать что именно включить в этот защищенный режим.

Всё это создаст более доверительную модель управления устройством, в том числе не жертвуя функциями удаленного доступа полностью.

Даже если  кто-то завладеет паролем админа или облачным доступом, он не сможет нанести большого вреда.

Получается защита в том числе и от потенциально новых не известных ещё уязвимостей. 

Конечно здесь ещё многое нужно предусмотреть. Ведь такого решения на рынке ещё нет.

Изменено 4 часа назад пользователем keenet07

[D_K_]

Как удаленно вводить пин код, если постоянное место нахождения сисадмина в нескольких часах езды от роутера? Какая-то опция получается для избранных, кто роутер видит ежедневно в спальне дома например или в серверной где сам и сидишь.

[keenet07]

49 минут назад, D_K_ сказал:

Как удаленно вводить пин код, если постоянное место нахождения сисадмина в нескольких часах езды от роутера? Какая-то опция получается для избранных, кто роутер видит ежедневно в спальне дома например или в серверной где сам и сидишь.

Это не для облегчения удаленной работы админа, а для увеличения уровня защищенности, когда это требуется. Удаленный админ вынесет на этот защищенный уровень, только то что не имеет для него необходимости в постоянном удаленном управлении, но минимизирует потенциальный ущерб для системы в случае компрометации доступа. А может и вообще не пользоваться этим функционалом.

Но всё же наряду с тем что я предлагаю, можно конечно и ваш способ идентификации включить. Опционально. Он конечно менее безопасный, но всё же два разных пароля это уже какая-то защита. В этой системе должен быть выбор физический PIN-код или суперпароль для повышения привилегий удаленного администрирования.

Изменено 3 часа назад пользователем keenet07

[D_K_]

Как я вижу эту опцию. Есть суперадмин. Есть обычные админы-помощники на местах или их нет, он один. Суперадмин никогда не должен потерять доступ к роутеру залез на него хакер или помощник кривыми руками что-то нажал. Позтому суперадмин под "замок" может ставить критичные настройки. Как то доступ к сбросу роутера из веб, возможность отключения keendns, возможность загрузки на устройство прошивки или конфигурации, доступ к странице пользователей и так далее. Простой админ может создавать свои настройки, как в прочем и хакер, но он не сможет изменить ключевые, которые выведут роутер из под контроля суперадмина. Суперадмин может ежедневно заходить на роутер для инвестирования под обычным админским паролем. И только когда ему понадобится изменить что-то из заблокированного он введет в специальное поле пароль суперадмина.

Да это менее безопасно чем кнопкой. Но насколько просто будет перехватить пароль, который вводится может раз в несколько месяцев, подгадать момент итп? Думаю не очень просто особенно если его не хранить в конфиге.

С кнопкой будут заморачиваться какие-нибудь организации мол это безопасность. Но в организациях обычно удаленное управление. В итоге админ просто не будет блокировать никакие опции под эту кнопку (максимум что просто отключит автообновление), т.к каждая проблема, например позвонит начальник "смени ка нам пароль на wifi" это будет поездка в офис для ввода кода. Либо сообщение кода местному эникею чтобы он все понажимал за админа пока тот ленится ехать, вот и рухнула защита.

[keenet07]

@D_K_ В таком случае суперадмин не должен быть обычным пользователем с логином и паролем. Заходить в админку любой админ должен исключительно под логином и паролем с правами простого админа. Так уменьшается вероятность перехватить пароль суперадмина через браузеры, через их формы сохранения, через куки и всё прочее.

Специальный пароль повышения прав должен вводиться исключительно отдельной командой в консоли или в веб. 

Но тут сложности, как бы это могло выглядеть в мобильном приложении. Там бы его тоже не желательно бы светить.

Изменено 1 час назад пользователем keenet07