Возможный дубликат:
Достаточно ли безопасен iLO, чтобы его можно было повесить на WAN?
Это может быть глупый вопрос, но у обоих DRAC / ILO есть интерфейсы HTTP-сервера.
Если бы я троллировал 80-й порт IP и наткнулся на такую страницу, я бы знал, что это очень важная цель в том смысле, что, если я смогу ее взломать, я смогу в некоторой степени взять под контроль сервер (возможно, установив другой ОПЕРАЦИОННЫЕ СИСТЕМЫ).
Помимо изменения порта, каковы наилучшие методы защиты DRAC / ILO на общедоступных компьютерах с выходом в Интернет?
Они оба принимают загрузку ваших собственных сертификатов SSL, так что это первое, что я сделаю. Если у вас достаточно этих серверов, скорее всего, у вас есть собственный сервер сертификатов, и его сертификат установлен как надежный издатель.
Имейте в виду, что все, что нужно сделать, - это убедиться, что ILO / iDrac, к которому вы подключаетесь, принадлежит вам и вас не перенаправляют в приманку.
Еще одна вещь, которую мы делаем, чтобы защитить их, - это запретить им выходить в открытый доступ в Интернет. Все наши iDrac подключены к отдельному vlan, который доступен только после подключения к VPN. Это означает несколько вещей:
Тем не менее, у нас есть один клиент, который разместил свой iDrac на общедоступном IP-адресе. Если вы собираетесь пойти по этому пути:
Вы не размещаете их в Интернете. Используйте VPN.
Наилучшая распространенная практика - фактически держать порт DRAC / iLO вне ваших сетей с внешней маршрутизацией. Обычно у вас будет сеть управления, использующая RFC1918 частное IP-пространство и не маршрутизируется через внешние граничные маршрутизаторы. Нет необходимости получать доступ к DRAC / iLO с внешних IP-адресов, поэтому частное IP-пространство - лучший способ уберечь их от посторонних глаз потенциальных хакеров. Если вам нужно иметь доступ к ним удаленно, у вас будет решение VPN с доступом к сети управления DRAC / iLO после подключения к VPN из удаленного источника.