我实际上正在为客户进行安全审查,但我对 IPMI 案例感到困惑。
如果我是对的,那么该协议在设计上是有缺陷的,因此会直接将网络上的 IPMI 服务(udp/623)暴露给密码哈希提取。
知道这一点,仅允许通过 HTTP 访问 IPMI(即通过 Dell、SuperMicro 等多家提供商提供的 Web UI)是否是一个很好的缓解措施?
最后,这可能吗?!或者 IPMI 特定端口是否应始终处于监听状态?
谢谢您的回答。
答案1
简短的回答是可以的,HTTPS 是可行的,UDP 端口 621 不是必需的。当前的维基百科页面在“当前安全状态”下说明了这一点这里。
IPMI 支持通过 HTTPS 使用 SSL 进行带有证书的安全通信。
通过使用 RADIUS 服务器通过 SSL 进行身份验证、授权和计费,可以轻松克服使用默认短密码或“密码 0”黑客的现象,这在数据中心或任何中型到大型部署中很常见。可以配置用户的 RADIUS 服务器,以使用 FreeRADIUS/OpenLDAP 或 Microsoft Active Directory 和相关服务以安全的方式将 AAA 安全地存储在 LDAP 数据库中。
...
因此,谨慎的最佳做法是禁用 LDAP/RADIUS 中的操作员和管理员角色,并且仅在 LDAP/RADIUS 管理员需要时启用它们。例如,在 RADIUS 中,角色可以将其设置 Auth-Type 更改为:
Auth-Type := Reject
这样做将阻止 RAKP 哈希攻击成功,因为用户名将被 RADIUS 服务器拒绝。