По поиску был только ответ, который я нашел, это связано с Европейской ассоциацией производителей компьютеров = ECMA.
Что делает этот вариант? может быть включен или отключен.
2 ответа
6
Это почти наверняка ECMA-393 "proxZzzy" спящий прокси в NIC. Он позволяет хосту спать, пока NIC не спит, и NIC может выполнять такие действия, как реагирование на ARP и другие простые задания, чтобы хост был "видимым" в сети, даже когда он спит. Если какой-то важный трафик поступает для хоста, прокси-служба сна в NIC может разбудить хост, чтобы реальная ОС могла правильно делать трафик.
1
Прочитайте https://www.ecma-international.org/publications/files/ECMA-ST/ECMA-393.pdf
ProxZZZy был разработан Intel. Источник Посмотрите на листы данных, чтобы узнать, какие протоколы использовала ваша локальная / Wi-Fi-карта, или вы можете узнать, доступна ли она и включена ли она на вашем адаптере в Windows, и отключить ее в дополнительных настройках адаптера "ECMA". Убедитесь, что вы делаете это и в Linux. Отключение ProxZZZy и "Wake on Lan" предотвратит «атаки типа" отказ в спящем режиме "» и, возможно, уменьшит риск возникновения других потенциальных непредвиденных уязвимостей.
Intel ProxZZZy также позволяет использовать протоколы удаленного доступа, которые были описаны в приведенном выше документе как протоколы пробуждения; В то время как ECMA признает, что Intel ProxZZZy может быть взломан, он не обеспечивает всех данных и угроз безопасности, которые присутствуют. Остается определить, эффективно ли отключение Intel ProxZZZy на программном уровне смягчает использование аппаратного уровня. На уже скомпрометированном хосте смягчение программного обеспечения было бы бесполезным, поскольку злоумышленники могли просто повторно включить вектор атаки на аппаратном уровне.
Существуют и другие стандарты, такие как Microsoft Wake on Lan, Magic Packet и другие, которые предоставляют аналогичную функциональность; На каждом чипсете Intel, разработанном с 2006 года, Intel Management гарантирует, что встроенная сетевая карта остается необратимо включенной и активной, пока компьютер выключен, и обеспечивает полный удаленный контроль и эксплуатацию компьютеров пользователей, критической инфраструктуры и всего остального Source 1, Source2 ; На момент написания этой статьи пользователи чипсетов Intel были вынуждены покупать новые продукты или ждать, пока Intel выпустит обновленную прошивку. Игра в кошки-мышки продолжается до бесконечности, пока не будет полностью отключена. Intel ProxZZZy выглядит так же опасно, как Intel ME.
Из документа:
4.2 прокси, сетевой прокси:
Сущность, которая поддерживает присутствие в сети для спящего хоста с более высокой мощностью (прокси - это человек в середине; вы - хост)
Если ваша сетевая карта поддерживает Intel ECMA-393 proxZZZy ™ для спящих хостов; может произойти следующее!
А.2 Вопросы безопасности; по словам его дизайнеров:
В настоящем стандарте конкретно не рассматриваются проблемы безопасности, возникающие в связи с предложенным проектом протокола прокси. Тем не менее, был выявлен ряд сценариев потенциальной угрозы, и потенциальные меры по их снижению предлагаются ниже.
• Защита от отказа в спящем режиме. Возможно, злоумышленник может периодически отправлять сквозные прокси-пакеты без проверки подлинности на прокси-сервер, отказывая системе войти или остаться в состоянии ожидания. Это может быть частично смягчено за счет использования механизмов защиты (брандмауэры, системы обнаружения и предотвращения вторжений), как снаружи, так и / или как часть системы.
• Скомпрометированный прокси -сервер. Возможно, злоумышленник может взять под контроль прокси-сервер и использовать его для запуска атак на систему, сеть или другие компьютеры, подключенные к Интернету. Это может быть частично смягчено с помощью методов измерения системы для обеспечения целостности и надежности программного обеспечения / встроенного программного обеспечения / оборудования, которое выполняется в прокси-сервере.
• Атаки Subversion. Возможно, злоумышленник может взять под контроль прокси-сервер и использовать его для генерации IP-пакетов с заголовками Option, которые обходят внешние защитные механизмы. Это можно частично предотвратить, запретив прокси-серверу генерировать IP-пакеты с опциями в его заголовке.
(редактор: генераторы пакетов могут использоваться для запуска атаки ProxZZZy на любом поддерживаемом хосте, захвата прокси-сервера, а затем прокси-сервер (который включает встроенный анализатор пакетов) может быть превращен в мошеннический генератор пакетов)
• IPsec - IPsec может быть развернут в одном из двух режимов - туннельный и транспортный. Туннельный режим используется для IPsec-инкапсуляции VPN-трафика, когда удаленный клиент получает доступ к одному или нескольким узлам в доверенной сети через VPN-шлюз. Трафик к узлам в доверенной сети обычно открыт.
Транспортный режим IPsec используется для защиты отдельных соединений между конечными точками IP в сети. В этом случае каждое одноранговое соединение между узлами может быть защищено ассоциацией безопасности IPsec (SA). Решение защищать или нет - с помощью политики IPsec, и рекомендуемая корпоративная политика IPsec должна требовать входящий IPsec, но не требовать исходящий IPsec. Получатель запрашивает инициатора установить IPsec, если это необходимо. Видимый побочный эффект - исходные соединения TCP (TCP SYN) отправляются в открытом виде. Кроме того, в соответствии с этими политиками согласование IPsec происходит параллельно с запросом соединения. Трафик после первоначального TCP SYN, включая дополнительные изъятия TCP SYN, скорее всего будет в пределах IPsec, как и дальнейший трафик.
Хотя это не общая политика, политика инициатора также может требовать исходящего IPsec. В этом случае настройке соединения будет предшествовать тестовый пакет к порту IKE или AuthIP UDP.
В случае использования IPsec с прокси-сервером первоначальный пакет TCP SYN IPv6 от инициатора, используемого для пробуждения хоста, может быть зашифрован IPsec (если существующая политика сопоставления SA ранее была согласована между узлами). Тем не менее, ожидаемый общий случай - исходный пакет TCP SYN IPV6, который должен быть отправлен в незашифрованном виде (в соответствии с рекомендованными выше корпоративными политиками IPsec). Чтобы упростить эти два случая, хост должен явно удалить или сделать недействительными существующие SA IPsec перед переходом в спящий режим и переходом в режим прокси.
Если IPsec настроен на использование «общего секрета» или требует исходящего IPsec, то первоначальный SYN IPv6 TCP сначала будет аутентифицирован и зашифрован IPsec. В любой из этих последовательностей пробуждение может происходить из инициации согласования IKE. Прокси должен быть включен для пробуждения по шаблону IKEv1/AuthIP для обработки этой конфигурации.
Потенциальная опасность удаленного доступа к Prozzzzzy
Intel ProxZZZy дает хост-адаптеру Ethernet / Wifi возможность принимать удаленные "протоколы инициации сеанса"
Что такое протокол инициации сеанса?
Протокол инициации сеанса
Также называемый SIP-сервером или SIP-прокси-сервером, в телекоммуникациях это один из основных компонентов IP-УАТС, который используется SIP для выполнения многих функций установления соединения. Как описано в RFC 3621 - SIP: протокол инициации сеанса SIP использует элементы, называемые прокси-серверами (SIP-прокси), «для маршрутизации запросов к текущему местоположению пользователя, аутентификации и авторизации пользователей для служб, реализации политик маршрутизации вызовов поставщика и предоставления особенности для пользователей ".
Внутри сети SIP прокси-сервер SIP фактически управляет настройкой вызовов между устройствами SIP, включая управление маршрутизацией вызовов, а также выполняет необходимые функции, такие как регистрация, авторизация, управление доступом к сети, а в некоторых случаях также обеспечивает безопасность сети.
IP PBX Сокращение от Internet Protocol Private Branch eXchange, телефонного коммутатора, поддерживающего VoIP. IP-УАТС предоставляет услуги, аналогичные услугам УАТС, но в сетях передачи данных, таких как ЛВС или WAN, а не в сетях с коммутацией каналов. IP-УАТС, как правило, может переключать вызовы между VoIP на локальных линиях или между VoIP и традиционными телефонными пользователями так же, как это делает УАТС. IP-УАТС также можно рассматривать как сокращенно IPPBX или IP/PBX.
Источник: https://www.ecma-international.org/publications/files/ECMA-ST/ECMA-393.pdf
5.7 Удаленный доступ с использованием SIP и IPv4
В этом стандарте SIP (RFC 3261) используется удаленным объектом для пробуждения хоста. Прокси-серверы SIP вдоль пути могут облегчить обход NAT и межсетевых экранов. Причина пробуждения хоста (то есть конкретного хост-приложения, которое необходимо использовать) выходит за рамки настоящего стандарта. Методы и ответы SIP, используемые в функциях удаленного пробуждения, представляют собой коды состояния REGISTER, INVITE, ACK и SIP.
На следующей диаграмме (см. Выше) показан пример реализации SIP, которая может использоваться прокси для пробуждения хоста. В эту спецификацию включены только сообщения, входящие и выходящие из сетевого прокси устройства. Все остальные сообщения и сущности являются возможной реализацией и не охватываются данной спецификацией.
5.8 Удаленный доступ с использованием Teredo для IPv6 (Teredo (RFC 4380) - это технология перехода IPv6, которая позволяет одноранговому соединению между равноправными узлами за NAT. Протокол Teredo инкапсулирует пакеты IPv6 в пакеты UDP IPv4. Один из туннелей, который поддерживает клиент Teredo, - это сервер Teredo в облаке. Прокси-сервер поддерживает этот туннель, отправляя сообщения Router Solicitation (RS) с регулярными интервалами. Прокси игнорирует любые ответы от сервера на пакет RS.
И что такое беспрепятственное общение, о котором они говорят в своем документе? Конечно, есть много приложений и функций OOB. Функция протокола удаленного доступа Intel ME / AMT в OOB. Использование сетевой карты стороннего производителя обойдет Intel ME OOB.
Внешнее управление
В компьютерных сетях внеполосное управление включает использование выделенного канала для управления сетевыми устройствами. Это позволяет оператору сети устанавливать границы доверия при доступе к функции управления, чтобы применять ее к сетевым ресурсам. Он также может использоваться для обеспечения возможности подключения к управлению независимо от состояния других компонентов внутриполосной сети.
О блокировании клиентов и внешнем управлении, блокировании компьютеров на основе AMT в Configuration Manager https://technet.microsoft.com/en-us/library/ee344337.aspx
Обязательный Intel Prozzzy против дополнительных компонентов:
IPv4 ARP Обязательный IPv6 Neighbor Discovery Обязательный DNS Опция DHCP Option IGMP Опция MLD Опция удаленного доступа с использованием протокола SIP и IPv4 Option удаленного доступа с использованием Teredo для IPv6 Параметр SNMP Discovery Option Service с помощью MDNS Опция Разрешение имен с LLMNR Опция Wake Пакетов Обязательных