На самом деле я провожу проверку безопасности для клиента и не понимаю, как обстоят дела с IPMI.
Если я прав, протокол ошибочен конструктивно, поэтому служба IPMI (udp / 623) напрямую подвергается извлечению хэшей паролей в сети.
Зная это, можно ли разрешить IPMI через HTTP (т.е. через веб-интерфейс, предоставляемый несколькими поставщиками, такими как Dell, SuperMicro и т. Д.)?
И в заключение, возможно ли это ?! Или должен всегда прослушивать конкретный порт IPMI?
Спасибо за ваши ответы.
Короткий ответ - да, HTTPS возможен, а порт UDP 621 не обязательно требуется. На текущей странице Википедии это указано в разделе «Текущий статус безопасности». Вот.
IPMI поддерживает использование SSL посредством HTTPS для безопасной связи с сертификатами.
Использование коротких паролей по умолчанию или взлома «cipher 0» можно легко преодолеть с помощью сервера RADIUS для аутентификации, авторизации и учета через SSL, что типично для центров обработки данных или любых средних и крупных развертываний. Сервер RADIUS пользователя может быть настроен для безопасного хранения AAA в базе данных LDAP безопасным способом с использованием FreeRADIUS / OpenLDAP или Microsoft Active Directory и связанных служб.
...
Поэтому разумной передовой практикой является отключение использования ролей оператора и администратора в LDAP / RADIUS и включение их только при необходимости администратором LDAP / RADIUS. Например, в RADIUS для роли можно изменить параметр Auth-Type на:
Auth-Type := RejectЭто предотвратит успешное выполнение RAKP-хэш-атак, поскольку имя пользователя будет отклонено сервером RADIUS.