Как я защищаю карту Dell Idrac?
Мы использовали сертификат Подчиненного альтернативного названия (SAN) для нашей миграции от Exchange 2003 - 2010. Мы сделали это для поддержки людей, использующих сервер прежней версии (2003) и новый сервер (2010). Мы выбрали Entrust from This List и не имели никаких проблем с iPhone, Android или любым другим клиентом ActiveSync.
Если Вы только используете Exchange 2010, и Вы используете то же имя хоста внутренне как внешне, необходимо смочь использовать просто единственный сертификат имени. Наш сервер называют Exchange, но наши пользователи всегда вводили "mail.domain.com" для веб-почты. Так, нам был нужен наш сертификат, чтобы быть допустимыми для exchange.domain.com, внутренне, и mail.domain.com, внешне.
Если Ваши пользователи собираются использовать то же имя внутренне как внешне, необходимо быть прекрасным использованием существующего сертификата.
Если Вы не можете сделать, это, сертификат SAN или сертификат "Объединенных коммуникаций" сделают то, в чем Вы нуждаетесь.
Кроме того, если Вы используете Entourage для Mac или "Outlook Где-нибудь", я полагаю, что сертификат должен быть проверен клиентом, или он или не соединится, или он предложит Вам принимать сертификат каждый раз, когда Вы входите в систему.
Контроллеры удаленного управления обычно проблематичны с точки зрения безопасности, потому что они являются достаточно полнофункциональными системами (серия (i) DRAC, как и многие другие, основана на Linux), которые устанавливаются на карта с полным доступом к вашему серверному оборудованию и редко, если вообще, обновляется. Доступ к ним из выделенной сети управления (как вы это делаете) является необходимым минимальным уровнем безопасности.
Однако вы обеспокоены тем, что кто-то получит доступ к вашему серверу, а затем сможет пройти через DRAC в ваше управление. сеть. Теоретически это возможно, но сложно, поскольку данные, которыми обмениваются системы, минимальны. Если вы готовы смириться с недостатками, отключение максимально возможной связи между системой и DRAC уменьшит поверхность для атаки.
Следует помнить, что локальный доступ к DRAC требует административного доступа к ОС, работающей на сервере, но не требует дополнительной аутентификации. Если вы используете Unix и запускаете racadm или omconfig (или один из инструментов IPMI) от имени пользователя root, то у вас будет административный доступ к DRAC.
Основной недостаток системы отключение доступа к локальному DRAC с помощью racadm config -g cfgRacTune -o cfgRacTuneLocalConfigDisable 1 , заключается в том, что вы больше не сможете изменять конфигурацию DRAC локально, что, вероятно, окажет наибольшее потенциальное влияние, если вам потребуется перенастроить Сетевые настройки DRAC в какой-то момент. Это потребует осторожности, потому что вы можете лишиться возможности настраивать его дальше удаленно. Насколько я могу судить, вы по-прежнему сможете изменять настройки DRAC через BIOS сервера, даже если локальная конфигурация отключена.
Обратите внимание, что этот параметр не отключает связь между ними; локальные программы по-прежнему смогут считывать параметры конфигурации из DRAC. Инструменты на основе IPMI должны иметь те же эффекты, что и racadm ; все настройки должны быть доступны только для чтения, но такие вещи, как показания датчиков, будут работать. Если у вас установлено программное обеспечение OpenManage Server Administrator, вам нужно будет посмотреть, какие параметры DRAC можно изменить с помощью omconfig (надеюсь, нет).
Mxx упомянул отключение «OS To iDRAC Pass -через". Я еще не работал с iDRAC7s (у меня есть несколько под заказ), но в документации указано, что это более быстрый канал связи между основной системой и DRAC. Его отключение, вероятно, не повлияет на вас функционально - связь между ними будет по-прежнему осуществляться только через IPMI, а не через сетевую карту, но это также не доставит вам неудобств (поскольку вы хотите максимально ограничить связь насколько это возможно), поэтому я бы отключил его.
Что вас здесь беспокоит? Что ваш iDRAC, настроенный с общедоступным IP-адресом, будет взломан? Или что кто-то может скомпрометировать хост-машину и каким-то образом использовать iDRAC для запуска атак на другие контроллеры управления?
Что касается первого, я бы посоветовал вам не оставлять iDRAC напрямую доступным в Интернет. Используйте некоторые ACL в вашем маршрутизаторе, чтобы предотвратить доступ к нему неавторизованных IP-адресов. Если можете, поместите его в частный IP-блок, чтобы это не было проблемой.
Для последнего работает аналогичная вещь. Используйте списки управления доступом маршрутизатора, чтобы гарантировать, что iDRAC может взаимодействовать только с авторизованными управляющими машинами, а не с какими бы адскими ощущениями это ни было.
Я не знаком с командами racadm , но в iDRAC7 gui есть опция под названием OS To iDRAC Pass-through .
Его описание:
Используйте эту страницу, чтобы включить внутренний канал связи системы, который обеспечивает высокоскоростную двунаправленную внутриполосную связь между iDRAC7 и операционная система хоста через общий LOM или выделенный сетевой адаптер. Это применимо для систем, в которых есть сеть Дочерняя карта (NDC) или устройства LAN на материнской плате (LOM).
Я думаю, что это то, что вы хотели бы отключить.
Кроме того, вместо использования локальных учетных записей пользователей, возможно, имеет смысл внедрить AD / Аутентификация LDAP. Таким образом вы можете настроить уведомление / блокировку неудачного входа в систему.
Dell рекомендует, чтобы порт iDRAC находился в физически выделенной локальной сети, и снимает многие опасения, которые могли бы возникнуть в связи с такой функцией.