Назад | Перейти на главную страницу

Защита DRAC / МОТ

Возможный дубликат:
Достаточно ли безопасен iLO, чтобы его можно было повесить на WAN?

Это может быть глупый вопрос, но у обоих DRAC / ILO есть интерфейсы HTTP-сервера.

Если бы я троллировал 80-й порт IP и наткнулся на такую ​​страницу, я бы знал, что это очень важная цель в том смысле, что, если я смогу ее взломать, я смогу в некоторой степени взять под контроль сервер (возможно, установив другой ОПЕРАЦИОННЫЕ СИСТЕМЫ).

Помимо изменения порта, каковы наилучшие методы защиты DRAC / ILO на общедоступных компьютерах с выходом в Интернет?

Они оба принимают загрузку ваших собственных сертификатов SSL, так что это первое, что я сделаю. Если у вас достаточно этих серверов, скорее всего, у вас есть собственный сервер сертификатов, и его сертификат установлен как надежный издатель.

Имейте в виду, что все, что нужно сделать, - это убедиться, что ILO / iDrac, к которому вы подключаетесь, принадлежит вам и вас не перенаправляют в приманку.

Еще одна вещь, которую мы делаем, чтобы защитить их, - это запретить им выходить в открытый доступ в Интернет. Все наши iDrac подключены к отдельному vlan, который доступен только после подключения к VPN. Это означает несколько вещей:

  1. VPN выходит из строя, и вам лучше иметь другой способ доступа к устройствам
  2. Вы не «тратите» публичный IP-адрес на драку
  3. Никто, не подключенный к VPN, не может получить доступ к устройству

Тем не менее, у нас есть один клиент, который разместил свой iDrac на общедоступном IP-адресе. Если вы собираетесь пойти по этому пути:

  1. Если можете, ограничьте IP-адреса на брандмауэре перед iDrac / ILO. Иногда это сложно сделать, если вы не знаете, где собираетесь, но если вы знать вы никогда не будете, скажем, в Китае, тогда это хорошее место для начала. Внесение в белый список IP-адресов, принадлежащих странам, из которых вы собираетесь получить к ним доступ, может заблокировать большой объем вредоносного трафика.
  2. Поменяйте пароль по умолчанию, ради бога. Используйте что-то вроде KeePass или аналогичный и сгенерируйте пароль из 64 символов. Есть посмотри на это сообщение в блоге если вы хотите узнать больше о том, почему это важно. На самом деле речь идет о хешировании, но суть та же. Если вы уберете от него только одну вещь, так это то, что если в устройстве есть уязвимость, и им удастся захватить копию базы данных пользователей, 8-значный базовый пароль можно взломать за 4 часа, даже не пытаясь.

Вы не размещаете их в Интернете. Используйте VPN.

Наилучшая распространенная практика - фактически держать порт DRAC / iLO вне ваших сетей с внешней маршрутизацией. Обычно у вас будет сеть управления, использующая RFC1918 частное IP-пространство и не маршрутизируется через внешние граничные маршрутизаторы. Нет необходимости получать доступ к DRAC / iLO с внешних IP-адресов, поэтому частное IP-пространство - лучший способ уберечь их от посторонних глаз потенциальных хакеров. Если вам нужно иметь доступ к ним удаленно, у вас будет решение VPN с доступом к сети управления DRAC / iLO после подключения к VPN из удаленного источника.