Entiendo que PXE se implementa mediante el uso de TFTP sobre UDP; ninguno de esos protocolos verifica la integridad, lo que parecería importante para algo como el sistema operativo. ¿Existe algún tipo de verificación de integridad en otro lugar antes de iniciar el sistema operativo? ¿Se espera que cada sistema operativo haga primero su propia verificación de integridad? (Esto parece una mala idea), ¿o simplemente no es lo suficientemente importante por alguna razón?
Respuesta1
PXE es solo una parte de su "entorno de aprovisionamiento basado en red"... PXE puede protegerse hoy mediante arranque seguro (UEFI) o en el pasado mediante la especificación BIS.
La función PXE se detiene cuando el último NBP (programa de inicio de red) en la cadena de inicio deja de usar las API PXE (interfaz del programa de aplicación). A partir de ese momento, la seguridad debe ser implementada por el conjunto de software que se inicia/implementa.
Hoy en día, los "entornos de aprovisionamiento basados en red" como WDS/MDT/SCCM tienen muchas características de seguridad como DHCP MAC y filtros de arquitectura, restricciones de DOMINIO, etc, etc, etc.