Restringir o acesso IPMI no Dell BMC e iDRAC a um intervalo de IP permitido

Navegue suas respostas
2

Estou tentando proteger o iDRAC e o BMC em alguns dos meus servidores Dell (R210, R410, R510). Eu quero restringir o acesso aos comandos IPMI para apenas alguns endereços IP. Eu consegui restringir com sucesso o acesso ao iDrac usando as instruções de link , mas as restrições de IP não afetam o IPMI. Uma rede de gerenciamento separada não é prática neste momento devido a falta ou portas e algumas Dell BMC não oferecem uma porta separada. Meu grupo de rede me disse que nossos switches não suportam entroncamento, então usar a tag vlan também não é uma opção.

Existe uma maneira de restringir o acesso do IPMI a uma lista de endereços permitidos?

FYI, por vários motivos, tenho uma mistura de servidores Dell com os recursos de gerenciamento corporativo da BMC, iDrac Express e iDrac.

Atualização: todas as minhas caixas estão em um ambiente comutado. Não há NAT acontecendo entre meus servidores ou minha área de trabalho. Estou usando ipmitool -I lanplus -H myhost -u root -p senha -K sol activate "para falar com o console serial sobre IPMI.

Update2: Enquanto estou em um ambiente comutado, não tenho acesso para alterar os comutadores de rede, que são gerenciados por um departamento diferente. O departamento de rede não gosta de configurar ACLs em roteadores e não pode / não usar tags vlan em nossas portas.

    
por edgester 14.06.2012 / 16:05

2 respostas

3

Se você mudou de ambiente e precisa restringir o acesso ao IPMI, a maneira de fazer isso é fazer a política de ACL no comutador principal; dessa forma, você pode restringir o acesso de determinadas redes a essa sub-rede ou serviço. Você pode usar somente cadeia INPUT para fazer isso, por exemplo, se seu IPMI estiver em 192.168.110.0/24 VLAN1 e sua área de trabalho estiver em 10.0.0.0/24 VLAN2 e LAN isolada em 10.0.1.0/24 VLAN3, você pode configurar a regra como no exemplo abaixo. No entanto, se você quiser restringi-lo na mesma sub-rede, isso não é feito e não pode ser feito dessa forma, o cliente restrito deve estar em uma LAN diferente (intervalo de IP roteável).

Então, no switch central, você pode carregar a política e especificar 

#Allow Broadcast
From Any To ff:ff:ff:ff:ff:ff Permit

#Allow Multicast
From Any To 224.0.0.0/4 Permit

#Anti-spoofing rules
From 192.168.110.0/24 to 0.0.0.0/0 VLAN1 Permit
From 0.0.0.0/0 to 192.168.110.0/24 VLAN1 Permit
From 10.0.0.0/24 to 0.0.0.0/0 VLAN2 Permit
From 0.0.0.0/0 to 10.0.0.0/24 VLAN2 Permit
From 10.0.1.0/24 to 0.0.0.0/0 VLAN3 Permit
From 0.0.0.0/0 to 10.0.1.0/24 VLAN3 Permit

#Permit IPMI from VLAN2
#You can narrow this rule to allow IPMI only
From 10.0.0.0/24 to 192.168.110.0/24 Permit
From 192.168.110.0/24 to 10.0.0.0/24 Permit

#Allow VLAN3 to VLAN1
From 10.0.1.0/24 to 10.0.0.0/24 Permit
From 10.0.0.0/24 to 10.0.1.0/24 Permit

#Block any other VLAN to VLAN communication, and allow internet browsing for VLAN3 (destination 0.0.0.0/0)
From 10.0.0.0/8 to 10.0.0.0/8 Deny
From 192.168.0.0/16 to 192.168.0.0/16 Deny
From 10.0.0.0/8 to 192.168.0.0/16 Deny
From 192.168.0.0/16 to 10.0.0.0/8 Deny

From 10.0.1.0/24 to 0.0.0.0/0 Permit
From 0.0.0.0/0 to 10.0.1.0/24 Permit

From 0.0.0.0/0 to 0.0.0.0/0 Deny

ps. Seu switch central (encaminhamento de roteador entre VLANs) definitivamente suporta esse tipo de ACL.

    
por 21.06.2012 / 09:51
1

Aqui está uma abordagem alternativa, que pode ou não ser viável, dependendo da sua funcionalidade de switch e conjunto de recursos.

Você precisará fazer sua própria pesquisa para expandir isso, com base nas versões do BMC, IPMI e DRAC que você tem.

Abaixo está uma lista de portas e protocolos do DRAC. Configure toda a sua rede para torná-la acessível apenas a alguns hosts selecionados ou, melhor ainda, a um host de bastiões, alternativamente, redefina as conexões usando um IPS que pode não funcionar para nenhum protocolo baseado em UDP.

DRAC6 

iDRAC6 Server Listening Ports 
Port Number  Function
22* SSH
23* Telnet
80* HTTP
443* HTTPS
623 RMCP/RMCP+
5900* Console Redirection keyboard/mouse, Virtual Media Service, Virtual Media Secure Service, Console Redirection video
Configurable port*

Table 1-4. iDRAC6 Client Ports 

Port Number Function
25 SMTP
53 DNS
68 DHCP-assigned IP address
69 TFTP
162 SNMP trap
636 LDAPS
3269 LDAPS for global catalog (GC)

DRAC5 

Port Number     Function
(Server ports)
22*             Secure Shell (SSH)
23*             Telnet
80*             HTTP
161         SNMP Agent
443*            HTTPS
623             RMCP/RMCP+
3668*       Virtual Media server
3669*       Virtual Media Secure Service
5900*       Console Redirection keyboard/mouse
5901*       Console Redirection video

Configurable port*

Table 1-3. DRAC 5 Client Ports
Port Number     Function
25          SMTP
53          DNS
68          DHCP-assigned IP address
69          TFTP
162             SNMP trap
636             LDAPS
3269            LDAPS for global catalog (GC)

DRAC 4 

 
DRAC 4 Port Number Used For 

Ports on DRAC 4 listening for connection (server):
23 Telnet (configurable)
80 HTTP (configurable)
161 SNMP Agent (not configurable)
443 HTTPS (configurable)
3668 Virtual Media server (configurable)
5869 Remote racadm spcmp server (not configurable)
5900 Console Redirection (configurable)

Ports that DRAC 4 uses as a client:
25 SMTP (not configurable)
69 TFTP (not configurable)
162 SNMP trap (not configurable)
53 DNS
636 LDAP
3269 LDAP for global catalog (GC)

Portas do DRAC 3 

Port Number Protocol Usage Is the Port Configurable?

7 UDP/TCP Used for Ping (Echo) No
22 SSH Secure Shell default port No
23 Telnet Telnet default port Yes
25 SMTP Simple Mail Transfer Protocol port No
53 DNS Domain name server (DNS) default port No
68 bootstrap Wake-on-LAN default port Yes
69 TFTP Trivial File Transfer Protocol port No 
80 HTTP  DRAC 4, DRAC III, DRAC I11/XT, ERA, ERA/O, ERA/MC, and DRAC/MC default port Yes
161 SNMP (get/set) SNMP agent port used by Dell OpenManage Array Manager, DRAC 4, DRAC III, DRAC I11/XT, ERA, ERA/O, ERA/MC, and DRAC/MC No
162 SNMP (traps) SNMP traps listener port No
623  Telnet Baseboard Management Controller (BMC) Management Utility default port Yes
636 LDAP Lightweight Directory Access Protocol (LDAP) port No
443 HTTPS (SSL) DRAC 4 default port Yes
1311 HTTPS (SSL) Dell OpenManage Server Administrator default port Yes
2148 Used by Array Manager clients to connect 
2606 TCP/IP Communication between the Dell OpenManage IT Assistant connection service and network monitoring service Yes
2607 HTTPS Communication between the IT Assistant user interface and connection service
Yes
3269  LDAP LDAP for global catalog (GC) port No
3668 VMS Virtual Media server Yes
4995 TCP/IP Dell OpenManage Client Connector (OMCC) default port Yes
5869 spcmp server Remote racadm spcmp server No
5900 VNC proxy server Console redirection default port for DRAC III, DRAC III/XT, ERA, and ERA/O Yes 5900

Referências utilizadas:

DRAC 6 link

DRAC 5 link

DRAC 4 link

DRAC 3 link

    
por 22.06.2012 / 22:19

Tags

Qual é a melhor abordagem para executar duas instâncias separadas do Tomcat (versão 6) em um servidor (linux)? Restringir clientes FreeRADIUS para acessar serviço de diferentes LANs com o mesmo usuário e senha