Сегодня утром у меня был урок по работе в сети (концентраторы, коммутаторы и т.д.), Мой учитель подтвердил мне, что протокол обновления прошивки коммутаторов - tftp и он безопасен.
Я удивлен прямо сейчас, увидев подкатегорию « Вопросы безопасности » в Википедии о протоколе tftp (без шифрования и т.д.)
Мой вопрос прост: каковы наиболее распространенные протоколы для обновления прошивки коммутаторов? (tftp - единственный вариант?)
TFTP был разработан для внутреннего использования, а не для использования через Интернет. Фактическая опасность - открыть TFTP через брандмауэр. Так что это безопасно, если вы не открываете брандмауэр.
Что касается Интернета, вы можете сделать его безопасным через VPN.
Если вам нужен действующий безопасный протокол для этого, вы можете использовать SFTP. SFTP фактически основан на протоколе SSH (Secure Shell), который известен тем, что он используется для обеспечения безопасного доступа к учетным записям оболочки на удаленных серверах или оборудовании. Некоторые производители поддерживают этот протокол в своих коммутаторах (см., Например, закупочные коммутаторы HP).
Кроме того, некоторые коммутаторы могут быть настроены для работы с https и графическим интерфейсом, и вы можете использовать это для обновления их встроенного программного обеспечения.
Вы можете оценить безопасность как обратную вероятность вероятности атаки.
S=1/P(A)
Обновления встроенного ПО всегда (99,99% времени) выполняются в неагрессивных средах (или, по крайней мере, за брандмауэром и / или устройством NAT), тогда безопасность обновления встроенного ПО TFTP очень хорошая, даже если сам протокол не имеет функций безопасности.
От RFC 7440 - опция Windowsize TFTP
Security Considerations
TFTP includes no login or access control mechanisms. Care must be
taken when using TFTP for file transfers where authentication, access
control, confidentiality, or integrity checking are needed. Note
that those security services could be supplied above or below the
layer at which TFTP runs. Care must also be taken in the rights
granted to a TFTP server process so as not to violate the security of
the server's file system. TFTP is often installed with controls such
that only files that have public read access are available via TFTP.
Also listing, deleting, renaming, and writing files via TFTP are
typically disallowed. TFTP file transfers are NOT RECOMMENDED where
the inherent protocol limitations could raise insurmountable
liability concerns.
TFTP includes no protection against an on-path attacker; care must be
taken in controlling windowsize values according to data sender, data
receiver, and network environment capabilities. TFTP service is
frequently associated with bootstrap and initial provisioning
activities; servers in such an environment are in a position to
impose device or network specific throughput limitations as
appropriate.
Также большинство обновлений прошивки сегодня используют какую-то проверку целостности образа перед тем, как действительно перепрограммировать двоичный файл.
Использование TFTP является классическим, потому что это очень простой, легко реализуемый протокол с очень маленьким объемом памяти.
TFTP Это также ключевой компонент при сетевой загрузке PXE, где сетевые адаптеры используют его для извлечения NBP и компонентов ранней загрузки,