Я пытаюсь защитить iDRAC и BMC на некоторых из моих серверов Dell (R210, R410, R510). Я хочу ограничить доступ к командам IPMI только несколькими IP-адресами. Я успешно ограничил доступ к iDrac, используя инструкции из http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac10mono/en/ug/html/racugc2d.htm#wp1181529 , но ограничения IP не влияют на IPMI. Отдельная сеть управления нецелесообразна в настоящее время из-за отсутствия портов, а некоторые BMC Dell не предлагают отдельный порт. Моя сетевая группа сообщила мне, что наши коммутаторы не поддерживают транкинг, поэтому использование тегов vlan также не вариант.
Есть ли способ ограничить доступ IPMI списком разрешенных адресов?
К вашему сведению, по разным причинам у меня есть смесь серверов Dell с функциями управления предприятием BMC, iDrac Express и iDrac.
Обновление: все мои коробки находятся в коммутируемой среде. Между моими серверами и рабочим столом нет NAT. Я использую ipmitool -I lanplus -H myhost -u root -p password -K sol activate "для связи с последовательной консолью через IPMI.
Обновление 2: пока я нахожусь в коммутируемой среде, у меня нет доступа для изменения сетевых коммутаторов, которыми управляет другой отдел. Сетевой отдел не любит устанавливать списки ACL на маршрутизаторах и не может / не будет использовать теги vlan на наших портах.
Если у вас коммутируемая среда и вам нужно ограничить доступ к IPMI, способ сделать это - создать политику ACL на основном коммутаторе, чтобы таким образом вы могли ограничить доступ из определенных сетей к этой подсети или службе. Для этого можно использовать только цепочку INPUT, например, если ваш IPMI находится в 192.168.110.0/24 VLAN1, а ваш рабочий стол находится в 10.0.0.0/24 VLAN2, а изолированная локальная сеть - в 10.0.1.0/24 VLAN3, вы можете настроить правило как в примере ниже. Однако, если вы хотите ограничить его в той же подсети, это не делается и не может быть выполнено таким образом, ограниченный клиент должен находиться в другой локальной сети (диапазон маршрутизируемых IP-адресов).
Итак, на основном коммутаторе вы можете загрузить политику и указать
#Allow Broadcast
From Any To ff:ff:ff:ff:ff:ff Permit
#Allow Multicast
From Any To 224.0.0.0/4 Permit
#Anti-spoofing rules
From 192.168.110.0/24 to 0.0.0.0/0 VLAN1 Permit
From 0.0.0.0/0 to 192.168.110.0/24 VLAN1 Permit
From 10.0.0.0/24 to 0.0.0.0/0 VLAN2 Permit
From 0.0.0.0/0 to 10.0.0.0/24 VLAN2 Permit
From 10.0.1.0/24 to 0.0.0.0/0 VLAN3 Permit
From 0.0.0.0/0 to 10.0.1.0/24 VLAN3 Permit
#Permit IPMI from VLAN2
#You can narrow this rule to allow IPMI only
From 10.0.0.0/24 to 192.168.110.0/24 Permit
From 192.168.110.0/24 to 10.0.0.0/24 Permit
#Allow VLAN3 to VLAN1
From 10.0.1.0/24 to 10.0.0.0/24 Permit
From 10.0.0.0/24 to 10.0.1.0/24 Permit
#Block any other VLAN to VLAN communication, and allow internet browsing for VLAN3 (destination 0.0.0.0/0)
From 10.0.0.0/8 to 10.0.0.0/8 Deny
From 192.168.0.0/16 to 192.168.0.0/16 Deny
From 10.0.0.0/8 to 192.168.0.0/16 Deny
From 192.168.0.0/16 to 10.0.0.0/8 Deny
From 10.0.1.0/24 to 0.0.0.0/0 Permit
From 0.0.0.0/0 to 10.0.1.0/24 Permit
From 0.0.0.0/0 to 0.0.0.0/0 Deny
пс. Ваш основной коммутатор (переадресация маршрутизатора между сетями VLAN) определенно поддерживает этот тип ACL.
Вот альтернативный подход, который может или не может быть осуществимым, в зависимости от функциональности вашего коммутатора и набора функций.
Вам нужно будет провести собственное исследование, чтобы расширить его на основе имеющихся у вас версий BMC, IPMI и DRAC.
Ниже приведен список портов и протоколов DRAC. Сконфигурируйте всю свою сеть, чтобы сделать их доступными только для нескольких избранных хостов или, что еще лучше, хоста-бастиона, в качестве альтернативы, сбросьте соединения с помощью IPS, который может не работать ни для каких протоколов на основе UDP.
DRAC6
iDRAC6 Server Listening Ports Port Number Function 22* SSH 23* Telnet 80* HTTP 443* HTTPS 623 RMCP/RMCP+ 5900* Console Redirection keyboard/mouse, Virtual Media Service, Virtual Media Secure Service, Console Redirection video Configurable port* Table 1-4. iDRAC6 Client Ports Port Number Function 25 SMTP 53 DNS 68 DHCP-assigned IP address 69 TFTP 162 SNMP trap 636 LDAPS 3269 LDAPS for global catalog (GC)
DRAC5
Port Number Function (Server ports) 22* Secure Shell (SSH) 23* Telnet 80* HTTP 161 SNMP Agent 443* HTTPS 623 RMCP/RMCP+ 3668* Virtual Media server 3669* Virtual Media Secure Service 5900* Console Redirection keyboard/mouse 5901* Console Redirection video Configurable port* Table 1-3. DRAC 5 Client Ports Port Number Function 25 SMTP 53 DNS 68 DHCP-assigned IP address 69 TFTP 162 SNMP trap 636 LDAPS 3269 LDAPS for global catalog (GC)
DRAC 4
DRAC 4 Port Number Used For Ports on DRAC 4 listening for connection (server): 23 Telnet (configurable) 80 HTTP (configurable) 161 SNMP Agent (not configurable) 443 HTTPS (configurable) 3668 Virtual Media server (configurable) 5869 Remote racadm spcmp server (not configurable) 5900 Console Redirection (configurable) Ports that DRAC 4 uses as a client: 25 SMTP (not configurable) 69 TFTP (not configurable) 162 SNMP trap (not configurable) 53 DNS 636 LDAP 3269 LDAP for global catalog (GC)
DRAC 3 порта
Port Number Protocol Usage Is the Port Configurable? 7 UDP/TCP Used for Ping (Echo) No 22 SSH Secure Shell default port No 23 Telnet Telnet default port Yes 25 SMTP Simple Mail Transfer Protocol port No 53 DNS Domain name server (DNS) default port No 68 bootstrap Wake-on-LAN default port Yes 69 TFTP Trivial File Transfer Protocol port No 80 HTTP DRAC 4, DRAC III, DRAC I11/XT, ERA, ERA/O, ERA/MC, and DRAC/MC default port Yes 161 SNMP (get/set) SNMP agent port used by Dell OpenManage Array Manager, DRAC 4, DRAC III, DRAC I11/XT, ERA, ERA/O, ERA/MC, and DRAC/MC No 162 SNMP (traps) SNMP traps listener port No 623 Telnet Baseboard Management Controller (BMC) Management Utility default port Yes 636 LDAP Lightweight Directory Access Protocol (LDAP) port No 443 HTTPS (SSL) DRAC 4 default port Yes 1311 HTTPS (SSL) Dell OpenManage Server Administrator default port Yes 2148 Used by Array Manager clients to connect 2606 TCP/IP Communication between the Dell OpenManage IT Assistant connection service and network monitoring service Yes 2607 HTTPS Communication between the IT Assistant user interface and connection service Yes 3269 LDAP LDAP for global catalog (GC) port No 3668 VMS Virtual Media server Yes 4995 TCP/IP Dell OpenManage Client Connector (OMCC) default port Yes 5869 spcmp server Remote racadm spcmp server No 5900 VNC proxy server Console redirection default port for DRAC III, DRAC III/XT, ERA, and ERA/O Yes 5900
Использованные ссылки:
DRAC 6 http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac11mono/en/ug/html/racugc1.htm
DRAC 5 http://lists.us.dell.com/pipermail/linux-poweredge/2006-July/026495.html
DRAC 4 http://support.dell.com/support/edocs/software/smdrac3/drac4/1.1/en/UG/racugc1.htm
DRAC 3 http://support.dell.com/support/edocs/software/smsom/4.4/en/ug/security.htm
Для iDRAC9 вы можете использовать веб-интерфейс
Настройки iDRAC> Связь> Сеть> Настройки сети> Расширенные настройки сети.
Для iDRAC8 используйте
Настройки iDRAC> Сеть> Расширенные настройки сети.