IPMI только через HTTP
На самом деле я провожу проверку безопасности для клиента и не понимаю, как обстоят дела с IPMI.
Если я прав, протокол имеет дефекты конструкции, таким образом, непосредственно подвергая службу IPMI (udp / 623) в сети извлечению хэшей паролей.
Зная это, можно ли разрешить IPMI через HTTP (т.е. через предоставленный веб-интерфейс) от нескольких поставщиков, таких как Dell, SuperMicro и т.д.)?
И в заключение, возможно ли это ?! Или должен всегда прослушиваться конкретный порт IPMI?
Спасибо за ваши ответы.
Короткий ответ - да, HTTPS возможен и udp порт 621 не обязательно нужен. Текущая страница Википедии говорит об этом в разделе "Текущий статус безопасности" здесь .
IPMI поддерживает использование SSL посредством HTTPS для безопасного обмена данными. с сертификатами.
Использование коротких паролей по умолчанию, или взломов "шифра 0" может быть просто преодолеть с использованием RADIUS-сервера для аутентификации, Авторизация и учет по протоколу SSL, как это типично для центров данных. или любого среднего или крупного развертывания. Пользовательский RADIUS-сервер может быть настроенная на безопасное хранение AAA в базе данных LDAP в безопасном месте способом с использованием FreeRADIUS/OpenLDAP или Microsoft Active Directory и связанных с ними услуг.
...
Следовательно, разумная передовая практика заключается в том, чтобы исключить возможность использования Роли оператора и администратора в LDAP/RADIUS, и только включить их когда это необходимо администратору LDAP/RADIUS. Например, в RADIUS a роль может иметь его настройку Auth-Type измененную на:
Auth-Type := RejectЭто предотвратит успешную атаку RAKP на хэш, так как Имя пользователя будет отвергнуто сервером RADIUS.