Я ищу способ настроить клиентов в сети и до сих пор использовал TFTP. Возиться с сервером, я смог выполнить обход пути с чем-то похожим, например GET asdf/../../../../windows/win.ini
. Для этого и других соображения безопасности Хочу перейти на что-нибудь более безопасное. Насколько мне известно, при настройке клиентов с PXE по сети всегда используются DHCP и TFTP для загрузки изображений. Я видел возможность запускать службу TFTP в chrooted среде или фильтровать входящий трафик на порт 69, чтобы сделать его более безопасным. Мне это не очень нравится, потому что я считаю, что должно быть что-то лучше, чем отключение службы или фильтрация трафика. Также было бы неплохо полностью уйти от TFTP. Есть ли другие альтернативы под Windows?
в чем проблема безопасности?
Вы опасаетесь, что TFTP-сервер может быть взломан, а система может быть использована для чего-то еще? Тогда что-то вроде chroot
решение было бы наиболее разумным.
Есть ли у вас опасения, что сервер TFTP может быть взломан, а изображения, которые он распространяет, изменяются? Тогда лучше всего будет запустить процесс сервера TFTP от имени пользователя, у которого нет разрешений файловой системы для изменения этих файлов изображений. Кроме того, многие серверы TFTP могут быть запущены в режиме только для чтения.
Или вас беспокоит то, что кто-то еще разместит DHCP-сервер в вашей сети и начнет распространять свои собственные образы через TFTP среди ваших клиентов? Тогда вам, вероятно, придется подумать об использовании другого решения, кроме загрузки пикси.
Вы также говорите о фильтрации трафика. Я думаю, что вопрос, имеет ли фильтрация смысл или нет, во многом зависит от вашего случая. если у вас ограниченное количество действительных клиентов, вы, вероятно, можете создать что-то вроде белого списка IP-адресов, которые могут подключаться в iptables. В противном случае, если у вас больше миллионов клиентов (например, интернет-провайдер, распространяющий ПЗУ для модемов), фильтрация будет сложнее.