保护 DRAC/ILO

Question 1

它们都接受上传您自己的 SSL 证书，所以这是我要做的第一件事。如果您拥有足够多的此类服务器，那么您很可能拥有自己的证书服务器，并且您已将其证书安装为受信任的发布者。

请注意，这样做只是为了确保您连接的 ILO/iDrac 是您的，并且您不会被重定向到蜜罐。

我们为保护它们所采取的另一项措施是不要让它们面向公共互联网。我们将所有 iDrac 都放在单独的 VLAN 上，只有连接到 VPN 后才能访问。这意味着几件事：

VPN 出现故障，你最好有其他方法登录设备
你不会在 drac 上“浪费”公共 IP 地址
未使用 VPN 的任何人都无法访问该设备

话虽如此，我们确实有一个客户将他们的 iDrac 放在公共 IP 上。如果您要走这条路：

如果可以的话，限制 iDrac/ILO 前面的防火墙上的 IP 地址。有时，如果你不知道自己要去哪里，这很难做到，但如果你知道如果你永远不会进入中国，那么这是一个好的开始。将属于你要访问的国家/地区的 IP 列入白名单可以阻止大量恶意流量。
看在上帝的份上，更改默认密码。使用类似KeePass或者相似的并生成一个 64 个字符的密码。看看这篇博文如果您想进一步了解为什么这很重要。这实际上是关于哈希的，但要点是一样的。如果您只从中学到一件事，那就是如果设备存在漏洞并且他们设法获取用户数据库的副本，那么 8 个字符的基本密码可以在 4 小时内被破解，甚至无需尝试。

Answer

它们都接受上传您自己的 SSL 证书，所以这是我要做的第一件事。如果您拥有足够多的此类服务器，那么您很可能拥有自己的证书服务器，并且您已将其证书安装为受信任的发布者。

请注意，这样做只是为了确保您连接的 ILO/iDrac 是您的，并且您不会被重定向到蜜罐。

我们为保护它们所采取的另一项措施是不要让它们面向公共互联网。我们将所有 iDrac 都放在单独的 VLAN 上，只有连接到 VPN 后才能访问。这意味着几件事：

VPN 出现故障，你最好有其他方法登录设备
你不会在 drac 上“浪费”公共 IP 地址
未使用 VPN 的任何人都无法访问该设备

话虽如此，我们确实有一个客户将他们的 iDrac 放在公共 IP 上。如果您要走这条路：

如果可以的话，限制 iDrac/ILO 前面的防火墙上的 IP 地址。有时，如果你不知道自己要去哪里，这很难做到，但如果你知道如果你永远不会进入中国，那么这是一个好的开始。将属于你要访问的国家/地区的 IP 列入白名单可以阻止大量恶意流量。
看在上帝的份上，更改默认密码。使用类似KeePass或者相似的并生成一个 64 个字符的密码。看看这篇博文如果您想进一步了解为什么这很重要。这实际上是关于哈希的，但要点是一样的。如果您只从中学到一件事，那就是如果设备存在漏洞并且他们设法获取用户数据库的副本，那么 8 个字符的基本密码可以在 4 小时内被破解，甚至无需尝试。

Question 2

不要把它们放到互联网上。使用 VPN。

Answer

不要把它们放到互联网上。使用 VPN。

Question 3

最好的常见做法是将 DRAC/iLO 端口远离外部路由网络。您通常会有一个管理网络，利用RFC1918私有 IP 空间，不通过外部边缘路由器路由。无需从外部 IP 地址访问 DRAC/iLO，因此私有 IP 空间是防止黑客窥探的最佳方式。如果您需要能够远程访问它们，那么一旦您从远程源连接到 VPN，您就可以使用 VPN 解决方案访问 DRAC/iLO 管理网络。

Answer

最好的常见做法是将 DRAC/iLO 端口远离外部路由网络。您通常会有一个管理网络，利用RFC1918私有 IP 空间，不通过外部边缘路由器路由。无需从外部 IP 地址访问 DRAC/iLO，因此私有 IP 空间是防止黑客窥探的最佳方式。如果您需要能够远程访问它们，那么一旦您从远程源连接到 VPN，您就可以使用 VPN 解决方案访问 DRAC/iLO 管理网络。

保护 DRAC/ILO

答案1

答案2

答案3

相关内容