Выделенные серверы - как защитить ipmi
В зависимости от Вашей среды можно хотеть посмотреть на решение, которое даже не использует датчики и вместо этого просто анализирует трафик, затем настроенные предупреждения на основе материала как то, если Вы видите 500 погрешностей нивелировки, или трафик резко падает в течение длительного промежутка времени. Например, смотрите на то, что обеспечивает ExtraHop: http://www.extrahop.com/
Основным преимуществом IPMI является внеполосный доступ для случаев SHTF, в которых ядро обычно не работает. Итак, вы должны разрешить доступ за пределами операционной системы. Настройте VPN или, по крайней мере, способ для ваших клиентов доступа к IPMI через туннель ssh или что-то в этом роде.
Вы правы, опасаясь раскрытия IPMI в общедоступном Интернете. Если ваши клиенты жалуются на дополнительную безопасность, значит, они не из тех клиентов, с которыми вам нужно иметь дело.
Во-первых, я хочу быть уверенным, что если кто-то просканирует мои сети и найдет какие-то карты IPMI, он не сможет получить контроль над ними.
BMC в системах Supermicro за последний год были обнаружены некоторые особенно неприятные ошибки. Убедитесь, что в ваших системах установлена последняя версия прошивки, которая устраняет большинство ошибок , таких как ошибка «анонимный пользователь» и ошибка печально известного нулевого шифра . Обратите внимание, что эти прошивки доступны только для последних материнских плат (поколения X8, X9 и X10; обычно не для поколения X7, которое поставлялось 3-4 года назад), поэтому ваше оборудование должно быть современным.
Даже с обновлениями IPMI Supermicro по-прежнему подвержен ошибкам. Пароли передаются по сети в открытом виде и т. Д. В моем мире IPMI обязательно должен быть в частной сети и доступен только из нескольких специальных узлов управления.
Я знаю, что использование IPMI только в локальных сетях без общедоступных - это хорошая практика, однако клиенты не будут довольны использованием VPN для доступа к IPMI. много.
IPMI - отличный инструмент управления для системных администраторов. По своей природе это означает, что это также хороший бэкдор для хакеров. Если я получу доступ к сети IPMI, я могу делать интересные вещи, например отключать все 200 машин в течение нескольких минут или сообщать каждому узлу PXEboot при следующей загрузке (и потенциально перезаписывать все, что находится на дисках в то время). Если вы сможете хорошо объяснить это своим клиентам, они могут увидеть мудрость VPN.
Во-вторых, вы можете использовать команду ipmitool для управления конфигурацией IPMI без аутентификации пользователя. Я' Я хочу запретить клиентам изменять настройки IPMI - например, IP-адрес, удаление моих отслеживающих пользователей, ...
Убедитесь, что ipmitool , FreeIPMI и т. д. не установлены по умолчанию в системе. Добавьте в свою клиентскую документацию предупреждение о том, что установка этих инструментов в ОС является потенциальной проблемой безопасности, и если они устанавливают эти инструменты, они принимают на себя часть риска.
Хорошо, мое, вероятно, окончательное решение очень просто. Поскольку у меня есть пользователь ADMIN для IPMI, я могу написать простой интерфейс, который будет запускать команды ipmitool для запуска / остановки / перезапуска серверов.
Для веб-консоли я провел небольшое исследование. Supermicro создает файл jviewer.jnlp, содержащий только номера портов и некоторые учетные данные. Во-первых, я подумал, что есть какая-то подпись, и я не могу изменить содержимое. Тем не менее, подписи нет, и я могу поместить туда все, что захочу.
Итак, как часть моего интерфейса, я собираюсь создать кнопку консоли, которая настроит брандмауэр для временного разрешения портов, необходимых для консоли, а также будет загрузите файл jviewer, обновите его и передайте клиенту.
Это будет стоить мне некоторой разработки,