强制 Dell iDracs 和 BMC 使用 lanplus 而不是 lan 接口

tag-icon tag-icon security dell ipmi drac bmc
强制 Dell iDracs 和 BMC 使用 lanplus 而不是 lan 接口

有没有办法强制我的 Dell BMC 和 iDrac 卡仅使用 lanplus 接口而不使用不安全的“lan”接口。我知道 IPMI 规范中有一些“防火墙”功能,可以限制机箱等之间的某些功能,但我不知道是否可以以这种方式使用。

更新:我的所有机器都处于交换环境中。我的服务器或工作桌面之间没有 NAT。我使用 ipmitool -I lanplus -H myhost -u root -p password -K sol activate" 通过 IPMI 与串行控制台通信。

update2:当我处于交换环境中时,我无法控制交换机。如果我无法在主机或 iDRAC 本身上执行此操作,那么它就无法启动。

答案1

你可以:

1 - 使用 Dell DRAC 配置实用程序锁定 DRAC 安装

2 - 使用 BMC 管理实用程序对 BMC 执行相同操作。请参阅最后的参考资料。

3 – 根据 IPMI 实现,您可以使用.conf 文件来禁用 LAN 接口,或者执行命令来禁用它,或者关闭 LAN 通道。

4 - 通过识别使用的端口并禁止它们或使用重置,在网络级别拒绝 LAN 上的 IPMI。

虽然使用 lanplus 而不是 LAN 有助于解决 IPMI 的明文密码广播问题,但我并不认为这是最好的方法,而且考虑到 IPMI 的遗留性质和较旧、较弱的加密,它可能不安全。

因此,我将以另一种方式来提出你的问题。

“如何安全地使用 iDracs 和 BMC 并创建安全的带外 (OOB) 网络?”

我的理解这就是您真正想要做的事情。

背景:iDRAC 和 BMC 是带外管理设备,用于启用 LAN 和串行连接。请参阅http://en.wikipedia.org/wiki/IBM_Remote_Supervisor_Adapter&http://en.wikipedia.org/wiki/Dell_DRAC

根据风险,以下是一些供您考虑的想法:

1 - 如果创建安全的 OOB LAN,请使用具有强身份验证器的标准 VPN/防火墙,或 ASA 类型的设备。

2 - 将 IPMI/OOB LAN 与常规 LAN 流量分开,不要交叉连接它们,除非连接到其他管理网络。如果需要使用,请尝试将 IPMI/OOB 网络连接到其他 LAN。

3 - 最小权限/拒绝所有连接的基础设施和用户角色(未使用)。此基础设施应仅供安全管理员和网络管理员访问。根据 IPMI 实施,其中一些协议甚至可能不会影响 CPU,因此主机配置可能无法帮助保护它们。

4-用于访问串行访问集中器/KVM 的强身份验证器。

5 - 使用高安全性串行访问集中器,专门启用强身份验证器和潜在角色等。例如参见http://www.raritan.com/cac-reader/获取安全 KVM/串行解决方案的示例。

6 - 如果你被迫使用 telnet 或其他不安全的协议,请通过安全协议(如 SSH、SSL、IPSEC)进行隧道传输

7 - 锁定 BMC/DRAC 的所有管理工作站

8 - 如果您的软件支持,请禁用旧式和不安全的协议(如 telnet),并最好使用 SSH 或 IPSEC

9 - 考虑启用审计/日志记录到中心位置,特别是在 OOB 访问组件上

10 - 将认证设备与认证信息源(TACACS/RADIUS/等)分开

11 - 根据所使用的 IPMI 的长度和版本选择最强的身份验证密钥类型。还要考虑随机密码和密码控制。Liberman 的企业随机密码管理器在这方面看起来很不错。

12 - 看看一些更先进的网络管理工具是否可以帮助您完成其中的一些任务。IPMI 采用者列表软件供应商可能正在构建其中一些功能。

13——考虑IPMI的潜在替代品,例如vPro或其他标准。

参考文献:

http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac10mono/en/ug/html/racugc1k.htm

http://support.dell.com/support/edocs/software/smbmcmu/1.2/en/ug/bmcugc0d.htm

http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac14modular/en/ug/html/chap07.htm

http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/SAFE_RG/chap9.html

http://www.sans.org/reading_room/whitepapers/networkdevs/securing-out-of-band-device-management_906

http://www.gnu.org/software/freeipmi/manpages/man5/bmc-config.conf.5.html

http://ipmitool.sourceforge.net/

http://www.gnu.org/software/freeipmi/

http://publib.boulder.ibm.com/infocenter/lnxinfo/v3r0m0/topic/liaai/ipmi/liaaiipmi.htm

http://www.intel.com/design/servers/ipmi/adopterlist.htm

IPMI 边带如何与主机共享以太网端口?

http://www.liebsoft.com/Enterprise_Random_Password_Manager/

答案2

虽然我从未亲自尝试过,但我认为可以禁用所有 IPMI 1.5 身份验证机制并仅启用 IPMI 2.0 身份验证机制,这可能会使 IPMI 2.0(即 ipmitool lanplus)连接工作,但所有 IPMI 1.5(即 ipmitool lan)连接都无法实现。

我对 FreeIPMI 比 ipmitool 更熟悉,但在 ipmitool 中,我认为 IPMI 1.5 身份验证是通过“lan set auth”配置的,而 IPMI 2.0 是通过“lan set cipher_privs”配置的。

(在 FreeIPMI 的 bmc-config 中,它分别是 Lan_Conf_Auth 和 Rmcpplus_Conf_Privilege 部分。)

当然,你仍然需要巧妙地配置。例如,启用允许不进行身份验证的密码套件就很糟糕。

相关内容