信息安全 - 自建路由器能否将intels管理引擎（ME）的潜在风险降到最低？ - 吾爱随笔录

信息安全 Unix 路由器硬件

2021-09-09 06:34:17

我读了一些关于 intels ME 的东西，并因为它对自 2008 年以来基本上（或多或少）每个 intel 系统的巨大潜在安全威胁而产生了兴趣。我遇到了 @igor-skochinsky 的出色工作，他对他发现的东西。

不可能以可靠的方式禁用 ME，也不能只用自定义图像替换它。有人尝试在不采取对策的情况下尽可能多地删除它（https://github.com/corna/me_cleaner）。所以在机器本身上解决这个问题有点困难，但是如果在机器之外处理呢？

由于我考虑构建自己的安全路由器（可能使用一些 BSD，如 NetBSD、OpenBSD 等）作为我本地网络的入口点，我开始怀疑我是否可以用一个家来保护本地网络中每台可能受到威胁的英特尔机器- 制造的路由器不包含来自英特尔甚至 AMD 的硬件（他们使用称为 PSP 的东西）？

此外，我想知道当在路由器中通过 PCI 使用 NIC 时，它是否会提高路由器关于英特尔 ME 的安全性，因为它对 ME 的接口说它只能通过主 NIC 使用？那应该是主板的网卡吧？

最后，当路由器有某种明确允许的 MAC 和 IP 地址的白名单时是否足够，因为它说 ME 有自己的 MAC 和 IP 地址？我的意思是我可以将本地网络的每个设备的地址添加到白名单中，然后每次尝试与 ME 进行通信或形成 ME 将不再可能？

所以这个想法基本上是某种台式计算机，它尽可能地硬化，但不会发疯。每个想法或提示如何实现这一目标都值得赞赏。

我的第一个问题，我希望没问题。

3个回答

最近的研究证明，有一种可靠的方法可以禁用 ME，它最近由 Positive Technologies在这里发布。还为 HAP PCH 带添加了me_cleaner实现。

以防您的自制路由器和 AMD PSP 的潜在威胁。IMO 很难实现这一点。请注意，如果芯片可以访问网络接口，它可以使用从您的网络内部发起的安全连接，那么您将如何区分安全的出站流量和恶意流量？

在使用内置与外部 NIC 的情况下。没有区别，如果您为路由器使用潜在的不受信任的硬件或固件，但假设您将使用受信任的硬件和固件，您必须确保没有 ROM 或任何内部芯片内置外部 NIC 和其他组件可以在幕后与 NIC 交互。

如果您不使用 ME/AMT，请将其关闭。

如果您的 ME/AMT 没有网络配置（在其 BIOS 中）；并且您没有安装软件/驱动程序来启用它，无论如何您应该是安全的。

如果您依赖网络边缘设备（例如路由器）来区分合法管理流量和恶意管理流量（即 IDS/IPS 角色）。那么您最好希望它了解 AMT/ME 的流量签名攻击。

我感觉您的问题涉及 Intel ME 和 Intel AMT，所以首先，我认为我们应该区分 Intel ME 和 Intel AMT：

Intel ME：是在独立微处理器上运行的自主子系统，自 2008 年以来，它几乎集成在所有 Intel 的处理器芯片组中。它在计算机启动、计算机运行和睡眠期间执行任务。
Intel AMT ：是一种用于远程带外管理计算机的特殊技术，它在 Intel ME 内部运行。通常，英特尔 AMT 仅存在于商业级 PC 上，例如，许多联想 Thinkpad 笔记本电脑都有它。

虽然所有者可以取消配置 AMT，但没有正式的、记录在案的方法来禁用 ME。有一些非官方的方法，但它们通常涉及硬件 SPI 闪存（参见ME_Cleaner和Libreboot）。

[还要记住，这些技术的内部运作是封闭源代码和混淆的，因此很难准确区分它们能做什么或不能做什么。]

考虑到这一点，我将提供以下答案：

关于路由器，我使用带有运行 OpenWRT 的 ARM CPU 的小型单板 PC，并将其设置为丢弃 Intel ME/AMT 已知使用的端口上的所有传入/传出流量。（虽然是 Intel ME/AMT 闭源，但很难说这是否足够）。
关于 PC 上的 NIC，“ ..ME 有自己的 MAC 和 IP 地址用于带外接口，可以直接访问以太网控制器；一部分以太网流量甚至在到达之前就被转移到 ME主机的操作系统，各种以太网控制器中存在哪些支持.. ”因此，在您的英特尔 PC 上使用不受支持的网络适配器（而不是使用集成的）应该会切断英特尔 ME/AMT 访问网络。由于 USB 标准的限制/简单性，USB 网络适配器将是实现此目的的可靠方法。
关于您的最后一个问题，使用路由器仅将您的PC的MAC列入白名单，这是一个有趣的想法，希望有更深入的人回答。

参考资料：

其它你可能感兴趣的问题