Protegendo DRAC / ILO [duplicado]

Navegue suas respostas
2

Esta pode ser uma pergunta idiota, mas o DRAC / ILO tem interfaces de servidor HTTP.

Se eu estivesse vasculhando a porta 80 do IP e me deparei com essa página, eu sei que ela é um alvo de alto valor, no sentido de que, se eu puder decifrá-la, posso controlar o servidor até certo ponto ( potencialmente instalando outro SO).

Além de alterar a porta, quais são as melhores práticas para proteger o DRAC / ILO em máquinas com acesso público à Internet?

    
por The Diamond Z 10.04.2012 / 12:39

3 respostas

7

Ambos aceitam o envio de seus próprios certificados SSL, então essa é a primeira coisa que eu faria. Se você tiver servidores suficientes, é provável que tenha seu próprio servidor de certificados e tenha seu certificado instalado como um editor confiável.

Lembre-se de que tudo o que faz é garantir que o ILO / iDrac que você está se conectando seja seu e que você não esteja sendo redirecionado para um honeypot.

A outra coisa que fazemos para protegê-los é não tê-los enfrentando a internet pública. Nós temos todos os nossos iDracs em uma vlan separada, que é acessível somente após a conexão a uma VPN. Isso significa algumas coisas:

  1. A VPN é desativada e é melhor você ter outro método para acessar os dispositivos
  2. Você não está "desperdiçando" um endereço IP público no drac
  3. Ninguém que não esteja na VPN pode acessar o dispositivo

Dito isso, temos um cliente que colocou seu iDrac em um IP público. Se você vai seguir esse caminho:

  1. Restrinja os endereços IP no firewall na frente do iDrac / ILO, se puder. Às vezes isso é difícil de fazer se você não sabe onde você vai estar, mas se você sabe você nunca vai estar em dizer, China, então esse é um bom lugar para começar . Os IPs de lista branca que pertencem aos países dos quais você vai acessá-lo podem bloquear uma grande quantidade de tráfego malicioso.
  2. Altere a senha padrão, pelo amor de Deus. Use algo como KeePass ou semelhante e gerar uma senha de 64 caracteres. Tenha uma consulta nesta postagem do blog se quiser saber mais sobre por que isso é importante . Na verdade, é sobre hashing, mas o ponto é o mesmo. Se você tirar apenas uma coisa de lá, é que, se houver uma vulnerabilidade no dispositivo e eles conseguirem pegar uma cópia do banco de dados do usuário, uma senha básica de oito caracteres pode ser quebrada em quatro horas sem sequer tentar.
por 10.04.2012 / 12:46
5

Você não os coloca na internet. Use VPN's.

    
por 10.04.2012 / 12:46
2

A melhor prática comum é manter a porta DRAC / iLO fora de suas redes roteadas externamente. Geralmente, você teria uma rede de gerenciamento utilizando RFC1918 de espaço de IP privado e não encaminhado através dos seus routers de borda externos. Não há necessidade de acessar o DRAC / iLO de endereços IP externos para que o espaço de IP privado seja a melhor maneira de impedi-los de olhares indiscretos de possíveis hackers. Se você precisar acessá-los remotamente, você terá uma solução de VPN com acesso à rede de gerenciamento DRAC / iLO quando estiver conectado à VPN de uma fonte remota.

    
por 10.04.2012 / 14:49

Tags

Como você gerencia uma conta de e-mail da equipe? [fechadas] Virtualbox: como mesclar estado atual (instantâneo) com imagem de disco