KACE e Desktop Authority: Gerenciamento de sistemas fácil de usar, abrangente e acessível.
Eu descrevo as soluções K1000 e K2000 como o Altiris anabolizado. Podemos fazer tudo que fazíamos com o Altiris, só que agora é tudo mais fácil.
Kevin George, analista 2 de TI
Advanced BioHealing

Práticas recomendadas de proteção ao equipamento K2000

O K2000 é um equipamento de implantação de sistemas sem agente que usa serviços de inicialização PXE para implantar sistemas operacionais em computadores. Há protocolos como o TFTP, sem proteção ao fluxo de dados, integrados ao padrão PXE. A maioria dos protocolos especificados pelo PXE não tem substitutos com proteção ao fluxo de dados.

Sites com requisitos altos de proteção podem considerar redes dedicadas apenas a implantação com proteção de rede e física adequadas.

Se o K2000 for usado em uma rede mista, deve-se dar atenção a algumas áreas em particular.

Conta de recuperação

O K2000 no momento tem uma conta de recuperação para uso exclusivo do suporte KACE no atendimento ao cliente. A senha dessa conta pode ser determinada com o exame do código-fonte PHP no equipamento. Em um lançamento próximo, a conta será substituída por uma senha de recuperação alternativa do administrador. A senha de recuperação será alternada periodicamente, e não estará disponível no código-fonte PHP nem visível em nenhum lugar no equipamento.

A Dell KACE recomenda que o acesso à interface da Web do equipamento seja limitado pela proteção de rede e física, para que sua vulnerabilidade seja minimizada.

Execução arbitrária de comandos

Há uma tabela de banco de dados, com comandos de programação, executado como raiz no equipamento. O acesso de gravação ao banco de dados permite que se injetem comandos na tabela, que serão executados como raiz no equipamento, o que poderá comprometer a proteção do equipamento. Na configuração normal do equipamento, observamos que

  • o acesso SSH externo à conta raiz fica desligado por padrão
  • o acesso externo ao banco de dados fica desligado por padrão

Como prática, a Dell KACE recomenda que fiquem desligados para minimizar a vulnerabilidade.

Divulgação de informações da conta

O exame das tabelas do banco de dados no K2000 mostra que há senhas criptografadas armazenadas. Observamos que

  • o acesso externo ao banco de dados fica desligado por padrão
  • Não há senhas armazenadas como texto no banco de dados do equipamento.
  • Toda a criptografia é criada com algoritmo MD5 ou SHA-1.
  • Quando atribuída ao administrador, a senha admin é classificada com um algoritmo padrão, o que torna os valores criptografados menos vulneráveis a ataques de dicionários off-line, se for usada uma senha bastante forte.
  • Quando a integração com LDAP está ligada,
    • as contas de usuários locais ficam desativadas, diferente da "admin", o que impede o uso das senhas
    • nenhuma senha de contas LDAP é armazenada no equipamento além do necessário para autenticar o usuário.
    • nenhuma senha de contas LDAP é armazenada no banco de dados do equipamento

A Dell KACE recomenda que se sigam boas práticas para

  • manter desativado o acesso externo ao banco de dados
  • o uso de senhas complexas contra ataques de dicionários

Essas práticas reduzem qualquer provável vulnerabilidade com o armazenamento de senhas criptografadas para usuários locais no banco de dados do equipamento.

Vulnerabilidades a scripts intersite (XSS)

A equipe de engenharia do K2000 segue práticas internas de desenvolvimento para minimizar a chance de problemas de XSS na interface. Além disso, testamos a vulnerabilidade a XXS do K2000 com ferramentas padrão de proteção de rede, como o OpenVAS e o QualysGuard. Ocasionalmente, essas ferramentas podem deixar uma vulnerabilidade passar. Se alguma for descoberta, faremos tudo para corrigi-la tão logo possível.

Até o momento, as vulnerabilidades a XSS relatadas requerem acesso autenticado à interface administrativa do K2000 com função que possa obter URLs particulares.

Recomendamos que o cliente use navegadores como o Chrome e plug-ins como o NoScript, que reduzem vulnerabilidades a XSS em todos os sites.

O cliente com dúvidas ou perguntas pode entrar em contato com o suporte Dell KACE.