6 votos

La fuerza Dell iDracs y BMC ' s utilizar lanplus en lugar de interfaz lan

Es allí una manera de forzar a mi Dell Bmc y tarjetas iDrac para usar sólo el lanplus interfaz y el no uso de la inseguridad "lan" de la interfaz. Entiendo que hay algunos "firewall" características de la IPMI spec. para restringir ciertas funciones entre el chasis y tal, pero no sé si puede ser utilizado de esta manera.

Actualización: Todos mis cuadros están en un entorno conmutado. No hay NAT entre mis servidores o mi escritorio de trabajo. Estoy usando ipmitool-I lanplus-H myhost-u root-p contraseña-K sol activar" para hablar con el de serie de la consola de más de IPMI.

update2: Mientras estoy en un entorno conmutado, no tengo control de los interruptores. Si no puedo hacerlo en el host o el idrac sí mismo, entonces es un non-starter.

2voto

Albert Chu Puntos 306

Aunque nunca he probado personalmente este, creo que es concebible para desactivar todas las IPMI 1.5 mecanismos de autenticación y sólo permiten IPMI 2.0 mecanismos de autenticación, lo que haría que IPMI 2.0 (es decir, ipmitool lanplus) conexiones de trabajo, pero todos IPMI 1.5 (es decir, ipmitool lan) conexiones imposible.

Estoy más familiarizado con FreeIPMI de ipmitool, pero en ipmitool creo que el IPMI 1.5 se configura la autenticación a través de "lan set auth" y IPMI 2.0, a través de "lan conjunto cipher_privs".

(En FreeIPMI del bmc-config es el Lan_Conf_Auth y Rmcpplus_Conf_Privilege secciones, respectivamente).

Naturalmente, usted todavía necesita para configurar las cosas de forma inteligente. Por ejemplo, la habilitación de los conjuntos de cifrado que no permiten la autenticación sería realmente malo.

1voto

Brennan Puntos 1298

Usted puede:

1 - el uso de la Dell DRAC Utilidad de Configuración para bloquear un DRAC instalación

2 - el uso de una Utilidad de Administración de BMC para hacer lo mismo con el BMC. Por favor vea mis referencias al final.

3 - Dependiendo de la IPMI aplicación, usted puede utilizar .conf archivo para deshabilitar la interfaz lan, o ejecutar un comando para desactivar la función o desactiva el canal de LAN.

4 - Negar IPMI en la LAN en el nivel de red mediante la identificación de los puertos utilizados, y la prohibición, o el uso de reinicio.

Aunque el uso de lanplus en lugar de LAN va a ayudar con la contraseña de texto sin formato de difusión de los problemas de IPMI, no estoy convencido de que este es el mejor enfoque, y no se puede asegurar que de todos modos, dado el legado de la naturaleza de IPMI y más, a los más débiles de crypto.

Así que, voy a preguntar a su pregunta de una manera alternativa.

"¿Cómo puedo usar iDracs y Bmc de forma segura y crear un seguro Fuera de Banda (OOB) de la Red?"

Mi entendimiento es que esto es lo que usted está realmente tratando de hacer.

Antecedentes: iDRACs y Bmc están fuera de banda de los dispositivos de gestión a fin de que ambas LAN y conexiones en serie. Ver http://en.wikipedia.org/wiki/IBM_Remote_Supervisor_Adapter y http://en.wikipedia.org/wiki/Dell_DRAC

Basada en el riesgo, aquí están algunas ideas a tener en cuenta:

1 - Si la creación de un seguro OOB LAN, utilizar el estándar de VPN/firewall con fuerte autenticadores, o un ASA tipo de dispositivo.

2 - Aparte de IPMI/OOB LAN de regular el tráfico de la LAN y no cross-connect de ellos, salvo que en otras redes de gestión. Trate de obtener IPMI/red OOB a otros Lan requeridas para utilizar los mismos.

3 - Menos de Privilegio / Denegar todos (no utilizado) para todos los conectados a la infraestructura, y los roles de usuario. Esta infraestructura debe ser accesible sólo a los administradores de seguridad, y de los administradores de red. Dependiendo de la IPMI aplicación, algunos de estos protocolos no pueden ser incluso golpear a la CPU, de modo de configuración de host no puede ayudar en la obtención de ellos.

4 - Fuerte autenticadores para el acceso a la serie concentrador de acceso / KVM.

5 - el Uso de alta seguridad de serie el acceso de los concentradores que habilita específicamente fuerte autenticadores y, potencialmente, roles,etc. E. g. Ver http://www.raritan.com/cac-reader/ para una muestra de un seguro KVM/serie solución.

6 - Si se ve obligado a telnet o de otro protocolo inseguro, túnel sobre algo seguro por ejemplo, SSH, SSL, IPSEC

7 - Bloquear las estaciones de trabajo de administración de la BMC / DRAC

8 - Si su software es compatible, deshabilite el legado y la inseguridad de los protocolos como telnet, y el uso de SSH de preferencia, o IPSEC

9 - Considerar la posibilidad de habilitar la auditoría / registro de una ubicación céntrica en particular en OOB componentes de acceso a

10 - Aparte de los dispositivos de autenticación la autenticación de las fuentes de información (TACACS / RADIO / etc )

11 - Elegir el más fuerte de la clave de autenticación tipos posibles para la longitud y la versión de IPMI ser utilizado. El pensamiento acerca de las contraseñas al azar y los controles de contraseña. Liberman de la Empresa Random Password Manager se ve bastante ingeniosa para esto.

12 - a Ver si algunas de las más avanzadas herramientas de administración de red puede ayudar a realizar algo de esto para usted. El IPMI adoptantes lista de los proveedores de software son probablemente la construcción en algunos de esta funcionalidad.

13 - hay que Pensar en un reemplazo potencial para IPMI como vPro o de otras normas.

Bibliografía utilizada:

http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac10mono/en/ug/html/racugc1k.htm

http://support.dell.com/support/edocs/software/smbmcmu/1.2/en/ug/bmcugc0d.htm

http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac14modular/en/ug/html/chap07.htm

http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/SAFE_RG/chap9.html

http://www.sans.org/reading_room/whitepapers/networkdevs/securing-out-of-band-device-management_906

http://www.gnu.org/software/freeipmi/manpages/man5/bmc-config.conf.5.html

http://ipmitool.sourceforge.net/

http://www.gnu.org/software/freeipmi/

http://publib.boulder.ibm.com/infocenter/lnxinfo/v3r0m0/topic/liaai/ipmi/liaaiipmi.htm

http://www.intel.com/design/servers/ipmi/adopterlist.htm

¿Cómo IPMI banda lateral compartir el puerto ethernet con el host?

http://www.liebsoft.com/Enterprise_Random_Password_Manager/

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: