Есть ли способ заставить мои BMC и карты iDrac использовать только интерфейс lanplus и не использовать небезопасный интерфейс "lan". Я понимаю, что в спецификации IPMI есть некоторые функции «межсетевого экрана». чтобы ограничить определенные функции между шасси и т.п., но я не знаю, можно ли его использовать таким образом.
Обновление: все мои коробки находятся в коммутируемой среде. Между моими серверами и рабочим столом нет NAT. Я использую ipmitool -I lanplus -H myhost -u root -p password -K sol activate "для связи с последовательной консолью через IPMI.
update2: Пока я нахожусь в коммутируемой среде, я не могу управлять переключателями. Если я не могу сделать это на хосте или на самом idrac, значит, это не запускается.
Хотя я лично никогда не пробовал это сделать, я думаю, что можно отключить все механизмы аутентификации IPMI 1.5 и включить только механизмы аутентификации IPMI 2.0, что, вероятно, сделало бы соединения IPMI 2.0 (т.е. ipmitool lanplus) работающими, но все IPMI 1.5 (т.е. ipmitool lan) подключение невозможно.
Я больше знаком с FreeIPMI, чем с ipmitool, но в ipmitool я думаю, что аутентификация IPMI 1.5 настраивается через «lan set auth» и IPMI 2.0 через «lan set cipher_privs».
(В bmc-config FreeIPMI это разделы Lan_Conf_Auth и Rmcpplus_Conf_Privilege соответственно.)
Естественно, вам все равно нужно грамотно настроить. Например, включение наборов шифров, которые не разрешают аутентификацию, было бы очень плохо.
Ты можешь:
1. Используйте утилиту настройки Dell DRAC, чтобы заблокировать установку DRAC.
2 - используйте BMC Management Utility, чтобы сделать то же самое с BMC. Пожалуйста, смотрите мои ссылки в конце.
3 - В зависимости от реализации IPMI вы можете использовать файл .conf для отключения интерфейса локальной сети или выполнить команду для его отключения или отключить канал локальной сети.
4 - Запретите IPMI через LAN на сетевом уровне, указав используемые порты и запретив их, или используя сбросы.
Хотя использование lanplus вместо LAN поможет решить проблемы с широковещательной передачей паролей в открытом виде в IPMI, я не уверен, что это лучший подход, и в любом случае он может быть небезопасным, учитывая унаследованный характер IPMI и более старые, более слабые методы шифрования.
Итак, я задам ваш вопрос альтернативным способом.
«Как безопасно использовать iDrac и BMC и создать безопасную внеполосную сеть (OOB)?»
Насколько я понимаю, это именно то, что вы действительно пытаетесь сделать.
Предпосылки: iDRAC и BMC - это устройства внешнего управления, обеспечивающие как LAN, так и последовательные соединения. Видеть http://en.wikipedia.org/wiki/IBM_Remote_Supervisor_Adapter & http://en.wikipedia.org/wiki/Dell_DRAC
Вот несколько идей, которые вам следует рассмотреть с учетом рисков:
1 - При создании защищенной локальной сети OOB используйте стандартный VPN / межсетевой экран с надежными аутентификаторами или устройство типа ASA.
2 - Отделяйте IPMI / OOB LAN от обычного трафика LAN и не переключайте их, кроме как в другие сети управления. Попробуйте отключить сеть IPMI / OOB на другие локальные сети, если это необходимо для их использования.
3 - Наименьшие привилегии / Запретить все (не используются) для всей подключенной инфраструктуры и ролей пользователей. Эта инфраструктура должна быть доступна только администраторам безопасности и сетевым администраторам. В зависимости от реализации IPMI некоторые из этих протоколов могут даже не воздействовать на ЦП, поэтому конфигурация хоста может не помочь в их защите.
4 - Надежные аутентификаторы для доступа к концентратору последовательного доступа / KVM.
5 - Используйте концентраторы последовательного доступа с высоким уровнем безопасности, которые специально включают надежные аутентификаторы и потенциально роли и т. Д. Например. Видеть http://www.raritan.com/cac-reader/ для образца безопасного KVM / последовательного решения.
6.Если вы вынуждены использовать telnet или другой небезопасный протокол, туннелируйте его через что-нибудь безопасное, например SSH, SSL, IPSEC
7 - Заблокируйте все рабочие станции управления для BMC / DRAC
8. Если ваше программное обеспечение поддерживает это, отключите устаревшие и небезопасные протоколы, такие как telnet, и предпочтительно используйте SSH или IPSEC.
9 - Рассмотрите возможность включения аудита / регистрации в центральном месте, особенно для компонентов доступа OOB
10 - Отдельные устройства аутентификации от источников информации аутентификации (TACACS / RADIUS / и т. Д.)
11 - Выберите наиболее надежные типы ключей аутентификации из возможных для длины и версии используемого IPMI. Также подумайте о случайных паролях и элементах управления паролями. Enterprise Random Password Manager от Liberman выглядит для этого довольно изящно.
12. Посмотрите, могут ли некоторые из более продвинутых инструментов управления сетью помочь вам в этом. В списке сторонников IPMI поставщики программного обеспечения, вероятно, встраивают некоторые из этих функций.
13 - Подумайте о возможной замене IPMI, например о vPro или других стандартах.
Использованные ссылки:
http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac10mono/en/ug/html/racugc1k.htm
http://support.dell.com/support/edocs/software/smbmcmu/1.2/en/ug/bmcugc0d.htm
http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac14modular/en/ug/html/chap07.htm
http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/SAFE_RG/chap9.html
http://www.sans.org/reading_room/whitepapers/networkdevs/securing-out-of-band-device-management_906
http://www.gnu.org/software/freeipmi/manpages/man5/bmc-config.conf.5.html
http://ipmitool.sourceforge.net/
http://www.gnu.org/software/freeipmi/
http://publib.boulder.ibm.com/infocenter/lnxinfo/v3r0m0/topic/liaai/ipmi/liaaiipmi.htm
http://www.intel.com/design/servers/ipmi/adopterlist.htm