Назад | Перейти на главную страницу

Какой IP-адрес я должен использовать для устройства, к которому я хочу прервать доступ к сети?

У меня есть сервер IPMI на материнской плате super micro, которую я не могу отключить. Нет даже перемычки для отключения этого. Увидев все проблемы с безопасностью, которые были у сервера IPMI, который они представляют, я просто решил, что не хочу иметь с ним ничего общего.

У меня возникла идея разорвать сеть для этого. Вы можете выбрать DHCP или статический IP-адрес.

Моя идея заключалась в том, чтобы указать адрес, который никогда не сработает.

IP: 0.0.0.0 Подсеть: 0.0.0.0 Шлюз: 0.0.0.0

Вторая идея: IP: 192.168.0.0 Подсеть: 255.255.255.255 Шлюз: 0.0.0.0

Сработает ли что-нибудь из этого? Меня беспокоит, что, если я выберу IP-адрес, например 192.168.0.0, это может вызвать проблему, если кто-то будет напрямую подключаться к порту и отправлять пакеты на сетевой адрес. Есть ли лучший IP-адрес, который я могу использовать, чтобы лишить кого-либо возможности подключиться к моему серверу IPMI?

Сработает ли что-нибудь из этого? Меня беспокоит, что если я выберу IP-адрес, например 192.168.0.0, это может вызвать проблему, если кто-то будет напрямую подключаться к порту и отправлять пакеты на сетевой адрес.

Если у них есть для этого физический доступ, у вас будут гораздо более серьезные проблемы.

Проблема с выбором случайного IP-адреса заключается в том, что в конечном итоге любой сможет его найти. Но если у них есть доступ для подключения к нему, они, вероятно, могут сбросить IPMI и просто использовать значения по умолчанию. Но если у них есть доступ для сброса интерфейса IPMI, они могут просто выдернуть диски и работать с ними.

И еще есть тот факт, что IPMI можно настроить на поделиться интерфейсом вместо использования внутреннего интерфейса, а это означает, что даже его отключения и эпоксидной обработки интерфейса может быть недостаточно для выполнения того, что вы хотите.

Ах да, еще есть тот факт, что к IPMI можно получить доступ локально используя ipmitool. (Я думаю, вы на самом деле имеете в виду IPMI Over LAN, который является дополнением к IPMI).

Итак, хотя я сочувствую вашей ситуации, я не думаю, что вы добьетесь большого успеха, полностью исключив IPMI из своей системы. Чтобы минимизировать площадь поверхности IPMI:

  1. Отключите гостевые учетные записи IPMI, установите очень-очень надежный пароль для учетной записи администратора (выбросьте пароль, если хотите)
  2. Отключите порт IPMI (залейте его эпоксидной смолой, если действительно хотите).

Это действительно лучшее, что вы можете сделать. Установив надежный пароль, вы можете помешать людям войти, настроить IPMI на использование общего интерфейса и запретить им использовать ipmitool, а также отключив и управляя физической безопасностью сервера, вы сможете остановить удаленные атаки непосредственно на интерфейс IPMI Over LAN.

Выберите что-нибудь в 169.254.x.x автоконфигурация диапазона.