Security

強制 Dell iDracs 和 BMC 使用 lanplus 而不是 lan 介面

  • September 20, 2012

有沒有辦法強制我的戴爾 BMC 和 iDrac 卡只使用 lanplus 介面而不使用不安全的“lan”介面。我了解 IPMI 規範中有一些“防火牆”功能。限制機箱等之間的某些功能,但我不知道是否可以這樣使用。

更新:我所有的盒子都在一個切換的環境中。我的伺服器或我的工作桌面之間沒有 NAT。我正在使用 ipmitool -I lanplus -H myhost -u root -p password -K sol activate" 通過 IPMI 與串列控制台對話。

update2:當我處於切換環境中時,我無法控制切換。如果我不能在主機或 iDRAC 本身上做到這一點,那麼它就不是首發。

你可以:

1 - 使用 Dell DRAC 配置實用程序鎖定 DRAC 安裝

2 - 使用 BMC 管理實用程序對 BMC 執行相同操作。請在最後查看我的參考資料。

3 - 根據 IPMI 實現,您可以使用 .conf 文件禁用 LAN 介面,或執行命令禁用它,或關閉 LAN 通道。

4 - 通過辨識使用的埠、禁止它們或使用重置,在網路級別拒絕 IPMI over LAN。

儘管使用 lanplus 而不是 LAN 將有助於解決 IPMI 的明文密碼廣播問題,但我不相信這是最好的方法,而且它可能並不安全,因為 IPMI 的傳統性質和較舊、較弱的加密。

所以,我將以另一種方式問你的問題。

“我如何安全地使用 iDracs 和 BMC 並創建安全的帶外 (OOB) 網路?”

我的理解是這就是你真正想要做的。

背景:iDRAC 和 BMC 是帶外管理設備,可同時啟用 LAN 和串列連接。請參閱http://en.wikipedia.org/wiki/IBM_Remote_Supervisor_Adapter>和<http://en.wikipedia.org/wiki/Dell_DRAC

根據風險,這裡有一些想法供您考慮:

1 - 如果創建安全的 OOB LAN,請使用具有強大身份驗證器的標準 VPN/防火牆,或 ASA 類型的設備。

2 - 將 IPMI/OOB LAN 與正常 LAN 流量分開,不要交叉連接它們,除非進入其他管理網路。如果需要使用 IPMI/OOB 網路,請嘗試將其連接到其他 LAN。

3 - 所有連接的基礎設施和使用者角色的最低權限/拒絕所有(未使用)。只有安全管理員和網路管理員才能訪問此基礎架構。根據 IPMI 實施,其中一些協議甚至可能不會影響 CPU,因此主機配置可能無助於保護它們。

4 - 用於訪問串列訪問集中器/KVM 的強身份驗證器。

5 - 使用高度安全的串列訪問集中器,專門啟用強大的身份驗證器和潛在的角色等。例如,請參閱http://www.raritan.com/cac-reader/以獲取安全 KVM/串列解決方案的範例。

6 - 如果您被迫使用 telnet 或其他不安全的協議,請通過安全的方式將其隧道化,例如 SSH、SSL、IPSEC

7 - 鎖定 BMC / DRAC 的任何管理工作站

8 - 如果您的軟體支持它,請禁用舊的和不安全的協議,例如 telnet,並最好使用 SSH 或 IPSEC

9 - 考慮啟用審計/日誌記錄到一個中心位置,特別是在 OOB 訪問組件上

10 - 將身份驗證設備與身份驗證資訊源分開(TACACS / RADIUS / 等)

11 - 為正在使用的 IPMI 的長度和版本選擇最強的身份驗證密鑰類型。還要考慮隨機密碼和密碼控制。Liberman 的 Enterprise Random Password Manager 看起來非常漂亮。

12 - 查看一些更高級的網路管理工具是否可以幫助您執行其中的一些操作。IPMI 採用者名單軟體供應商可能正在建構其中的一些功能。

13 - 考慮 IPMI 的潛在替代品,例如 vPro 或其他標準。

使用的參考資料:

http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac10mono/en/ug/html/racugc1k.htm

http://support.dell.com/support/edocs/software/smbmcmu/1.2/en/ug/bmcugc0d.htm

http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac14modular/en/ug/html/chap07.htm

http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/SAFE_RG/chap9.html

http://www.sans.org/reading_room/whitepapers/networkdevs/securing-out-of-band-device-management_906

http://www.gnu.org/software/freeipmi/manpages/man5/bmc-config.conf.5.html

http://ipmitool.sourceforge.net/

http://www.gnu.org/software/freeipmi/

http://publib.boulder.ibm.com/infocenter/lnxinfo/v3r0m0/topic/liaai/ipmi/liaaiipmi.htm

http://www.intel.com/design/servers/ipmi/adopterlist.htm

IPMI 邊帶如何與主機共享乙太網埠?

http://www.liebsoft.com/Enterprise_Random_Password_Manager/

引用自:https://serverfault.com/questions/398759