我應該為要中斷網路訪問的設備使用什麼 IP 地址?
我在一個無法禁用的超微型主機板上有一個 IPMI 伺服器。甚至沒有跳線來禁用它。在看到他們提出的 IPMI 伺服器存在的所有安全問題後,我決定不與它有任何關係。
我有一個想法為此打破網路。您可以選擇 DHCP 或靜態 IP 地址。
我的想法是將地址設置為永遠不會起作用的地址。
IP:0.0.0.0 子網:0.0.0.0 網關:0.0.0.0
第二個想法:IP:192.168.0.0 子網:255.255.255.255 網關:0.0.0.0
這些中的任何一個都可以嗎?我擔心如果我選擇像 192.168.0.0 這樣的 IP 地址,如果有人直接連接到埠並將數據包發送到網路地址,可能會導致問題。有沒有更好的 IP 可以用來破壞任何人連接到我的 IPMI 伺服器的能力?
這些中的任何一個都可以嗎?我擔心如果我選擇像 192.168.0.0 這樣的 IP 地址,如果有人直接連接到埠並將數據包發送到網路地址,可能會導致問題。
如果他們有物理訪問權限來執行此操作,那麼您將遇到更大的問題。
選擇隨機 IP 地址的問題在於,基本上任何人最終都能找到它。但如果他們有權插入它,他們可能有權重置 IPMI 並使用預設值。但是,如果他們有權重置 IPMI 界面,他們就可以將驅動器拉出並與它們一起執行。
還有一個事實是,IPMI 可以配置為共享一個介面而不是使用內部介面,這意味著即使拔掉它並對介面進行環氧樹脂化也可能不足以滿足您的需求。
哦,對了,還有一個事實是,IPMI 可以在本地使用
ipmitool. (我認為您實際上指的是 IPMI Over LAN,它是 IPMI 的附加組件)。因此,儘管我對您的情況表示同情,但我認為您不會在完全從您的系統中消除 IPMI 方面取得多大成功。要最小化 IPMI 表面積:
- 禁用訪客 IPMI 帳戶,在管理員帳戶上設置一個非常強大的密碼(如果需要,請丟棄密碼)
- 拔下 IPMI 埠(如果你真的想用一些環氧樹脂把它塞起來)。
這真的是你能做的最好的事情。通過設置強密碼,您可以阻止人們進入並將 IPMI 設置為使用共享介面並阻止他們使用
ipmitool,並且通過拔出和管理伺服器的物理安全性,您應該能夠阻止遠端攻擊直接針對 IPMI Over LAN 介面。