Você pode:
1 - use o Dell DRAC Configuration Utility para bloquear uma instalação de DRAC
2 - use um BMC Management Utility para fazer o mesmo com o BMC. Por favor, veja minhas referências no final.
3 - Dependendo da implementação do IPMI, você pode usar o arquivo .conf para desabilitar a interface do lan, ou executar um comando para desativá-lo, ou desligar o canal da LAN.
4 - Negar o IPMI pela LAN no nível da rede, identificando as portas usadas, proibindo-as ou usando redefinições.
Embora o uso de lanplus em vez de LAN ajude com os problemas de transmissão de senha de texto não criptografado do IPMI, não estou convencido de que essa seja a melhor abordagem, e pode não ser segura de qualquer forma, devido à natureza legada do IPMI e criptografia mais antiga e mais fraca .Então, vou fazer sua pergunta de maneira alternativa.
"Como uso o iDracs e o BMCs de forma segura e crie uma rede OOB (Out of Band) segura?"
Meu entendimento é o que você está realmente tentando fazer.
Histórico: os iDRACs e BMCs são dispositivos de gerenciamento fora de banda para permitir conexões LAN e serial. Consulte o link & link
Com base no risco, aqui estão algumas ideias para você considerar:
1 - Ao criar uma LAN OOB segura, use VPN / firewall padrão com autenticadores strongs ou um tipo de dispositivo ASA.
2 - Separe a LAN IPMI / OOB do tráfego LAN normal e não faça a conexão cruzada, exceto em outras redes de gerenciamento. Tente obter a rede IPMI / OOB em outras LANs, se necessário, para usá-las.
3 - Privilégio mínimo / Negar todos (não usados) para toda a infraestrutura conectada e funções do usuário. Essa infraestrutura deve ser acessível apenas para administradores de segurança e administradores de rede. Dependendo da implementação da IPMI, alguns desses protocolos podem nem estar atingindo a CPU, portanto, a configuração do host pode não ajudar a protegê-los.
4 - Autenticadores strongs para acesso ao concentrador de acesso serial / KVM.
5 - Use concentradores de acesso serial de alta segurança que ativam autenticadores e funções potencialmente importantes, etc. Por exemplo. Veja link para obter uma amostra de uma solução KVM / serial segura.
6 - Se você for forçado a fazer telnet ou outro protocolo inseguro, encapsule-o por meio de algo seguro, p. SSH, SSL, IPSEC
7 - Bloqueie qualquer estação de trabalho de gerenciamento para o BMC / DRAC
8 - Se o seu software suportar, desabilite protocolos legados e inseguros, como telnet, e use SSH de preferência, ou IPSEC
9 - Considere ativar a auditoria / registro em log em um local central, particularmente em componentes de acesso OOB
10 - Separa os dispositivos de autenticação das fontes de informação de autenticação (TACACS / RADIUS / etc)
11 - Escolha os tipos de chave de autenticação mais strongs possíveis para o comprimento e a versão do IPMI em uso. Pensando em senhas aleatórias e controles de senha também. O Enterprise Random Password Manager do Liberman parece bem bacana para isso.
12 - Veja se algumas das ferramentas de gerenciamento de rede mais avançadas podem ajudar a realizar algumas delas para você. Os fornecedores de software de lista de adotantes da IPMI provavelmente estão construindo algumas dessas funcionalidades.
13 - Pense em um possível substituto para o IPMI, como o vPro ou outros padrões.
Referências utilizadas:
Como a banda lateral IPMI compartilha a rede ethernet? porta com o host?