Forçar os Dell iDracs e BMCs a usar lanplus em vez de lan-interface

6

Existe uma maneira de forçar meus cartões Dell BMC e iDrac a usar somente a interface lanplus e não usar a interface "lan" insegura. Eu entendo que existem alguns recursos de "firewall" na especificação do IPMI. para restringir certas funções entre o chassi e tal, mas não sei se ele pode ser usado dessa maneira.

Atualização: todas as minhas caixas estão em um ambiente comutado. Não há NAT acontecendo entre meus servidores ou minha área de trabalho. Estou usando ipmitool -I lanplus -H myhost -u root -p senha -K sol activate "para falar com o console serial sobre IPMI.

update2: Enquanto estou em um ambiente comutado, não tenho controle sobre os switches. Se eu não posso fazer isso no host ou no idrac, então não é um bom começo.

    
por edgester 14.06.2012 / 16:09

2 respostas

1

Você pode:

1 - use o Dell DRAC Configuration Utility para bloquear uma instalação de DRAC

2 - use um BMC Management Utility para fazer o mesmo com o BMC. Por favor, veja minhas referências no final.

3 - Dependendo da implementação do IPMI, você pode usar o arquivo .conf para desabilitar a interface do lan, ou executar um comando para desativá-lo, ou desligar o canal da LAN.

4 - Negar o IPMI pela LAN no nível da rede, identificando as portas usadas, proibindo-as ou usando redefinições.

Embora o uso de lanplus em vez de LAN ajude com os problemas de transmissão de senha de texto não criptografado do IPMI, não estou convencido de que essa seja a melhor abordagem, e pode não ser segura de qualquer forma, devido à natureza legada do IPMI e criptografia mais antiga e mais fraca .

Então, vou fazer sua pergunta de maneira alternativa.

"Como uso o iDracs e o BMCs de forma segura e crie uma rede OOB (Out of Band) segura?"

Meu entendimento é o que você está realmente tentando fazer.

Histórico: os iDRACs e BMCs são dispositivos de gerenciamento fora de banda para permitir conexões LAN e serial. Consulte o link & link

Com base no risco, aqui estão algumas ideias para você considerar:

1 - Ao criar uma LAN OOB segura, use VPN / firewall padrão com autenticadores strongs ou um tipo de dispositivo ASA.

2 - Separe a LAN IPMI / OOB do tráfego LAN normal e não faça a conexão cruzada, exceto em outras redes de gerenciamento. Tente obter a rede IPMI / OOB em outras LANs, se necessário, para usá-las.

3 - Privilégio mínimo / Negar todos (não usados) para toda a infraestrutura conectada e funções do usuário. Essa infraestrutura deve ser acessível apenas para administradores de segurança e administradores de rede. Dependendo da implementação da IPMI, alguns desses protocolos podem nem estar atingindo a CPU, portanto, a configuração do host pode não ajudar a protegê-los.

4 - Autenticadores strongs para acesso ao concentrador de acesso serial / KVM.

5 - Use concentradores de acesso serial de alta segurança que ativam autenticadores e funções potencialmente importantes, etc. Por exemplo. Veja link para obter uma amostra de uma solução KVM / serial segura.

6 - Se você for forçado a fazer telnet ou outro protocolo inseguro, encapsule-o por meio de algo seguro, p. SSH, SSL, IPSEC

7 - Bloqueie qualquer estação de trabalho de gerenciamento para o BMC / DRAC

8 - Se o seu software suportar, desabilite protocolos legados e inseguros, como telnet, e use SSH de preferência, ou IPSEC

9 - Considere ativar a auditoria / registro em log em um local central, particularmente em componentes de acesso OOB

10 - Separa os dispositivos de autenticação das fontes de informação de autenticação (TACACS / RADIUS / etc)

11 - Escolha os tipos de chave de autenticação mais strongs possíveis para o comprimento e a versão do IPMI em uso. Pensando em senhas aleatórias e controles de senha também. O Enterprise Random Password Manager do Liberman parece bem bacana para isso.

12 - Veja se algumas das ferramentas de gerenciamento de rede mais avançadas podem ajudar a realizar algumas delas para você. Os fornecedores de software de lista de adotantes da IPMI provavelmente estão construindo algumas dessas funcionalidades.

13 - Pense em um possível substituto para o IPMI, como o vPro ou outros padrões.

Referências utilizadas:

link

link

link

link

link

link

link

link

link

link

Como a banda lateral IPMI compartilha a rede ethernet? porta com o host?

link

    
por 22.06.2012 / 21:46
2
Embora eu nunca tenha tentado isso pessoalmente, acho que é possível desabilitar todos os mecanismos de autenticação do IPMI 1.5 e habilitar apenas os mecanismos de autenticação do IPMI 2.0, o que provavelmente tornaria as conexões IPMI 2.0 (ie ipmitool lanplus) funcionando, mas todas as IPMI 1.5 (ou seja, ipmitool lan) conexões impossíveis.

Estou mais familiarizado com o FreeIPMI que com o ipmitool, mas no ipmitool acho que a autenticação IPMI 1.5 está configurada via "lan set auth" e IPMI 2.0 via "lan set cipher_privs".

(No bmc-config do FreeIPMI são as seções Lan_Conf_Auth e Rmcpplus_Conf_Privilege respectivamente).

Naturalmente, você ainda precisa configurar as coisas de maneira inteligente. Por exemplo, habilitar os conjuntos de criptografia que permitem a não autenticação seria muito ruim.

    
por 20.09.2012 / 19:29