主页 / server / 问题 / 398759
Accepted
edgester
Asked: 2012-06-15 06:09:18 +0800 CST

强制 Dell iDracs 和 BMC 使用 lanplus 而不是 lan 接口

  • 772

有没有办法强制我的 Dell BMC 和 iDrac 卡只使用 lanplus 接口而不使用不安全的“lan”接口。我知道 IPMI 规范中有一些“防火墙”功能。限制机箱等之间的某些功能,但我不知道它是否可以这样使用。

更新:我所有的盒子都在一个切换的环境中。我的服务器或工作桌面之间没有进行 NAT。我正在使用 ipmitool -I lanplus -H myhost -u root -p password -K sol activate" 通过 IPMI 与串行控制台通信。

update2:当我处于切换环境中时,我无法控制开关。如果我不能在主机或 iDRAC 本身上执行此操作,那么它就无法启动。

security dell ipmi drac bmc

2 个回答

  1. 虽然我从未亲自尝试过,但我认为禁用所有 IPMI 1.5 身份验证机制并仅启用 IPMI 2.0 身份验证机制是可以想象的,这可能会使 IPMI 2.0(即 ipmitool lanplus)连接工作,但所有 IPMI 1.5(即 ipmitool局域网)连接不可能。

    与 ipmitool 相比,我更熟悉 FreeIPMI,但在 ipmitool 中,我认为 IPMI 1.5 身份验证是通过“lan set auth”配置的,IPMI 2.0 是通过“lan set cipher_privs”配置的。

    (在 FreeIPMI 的 bmc-config 中,它分别是 Lan_Conf_Auth 和 Rmcpplus_Conf_Privilege 部分。)

    当然,您仍然需要巧妙地进行配置。例如,启用允许无身份验证的密码套件将非常糟糕。

    • 2
  2. Best Answer

    你可以:

    1 - 使用 Dell DRAC 配置公用程序锁定 DRAC 安装

    2 - 使用 BMC 管理实用程序对 BMC 执行相同的操作。请在最后查看我的参考资料。

    3 - 根据 IPMI 实现,您可以使用 .conf 文件禁用 lan 接口,或执行命令禁用它,或关闭 LAN 通道。

    4 - 通过识别使用的端口并禁止它们或使用重置,在网络级别拒绝 IPMI over LAN。

    虽然使用 lanplus 而不是 LAN 将有助于解决 IPMI 的明文密码广播问题,但我不认为这是最好的方法,而且考虑到 IPMI 的遗留特性和较旧的、较弱的加密,它可能无论如何都不安全。

    所以,我将以另一种方式问你的问题。

    “我如何安全地使用 iDracs 和 BMC 并创建安全的带外 (OOB) 网络?”

    我的理解是这是你真正想要做的。

    背景:iDRAC 和 BMC 是带外管理设备,可同时启用 LAN 和串行连接。请参阅http://en.wikipedia.org/wiki/IBM_Remote_Supervisor_Adapterhttp://en.wikipedia.org/wiki/Dell_DRAC

    基于风险,这里有一些想法供您考虑:

    1 - 如果创建安全的 OOB LAN,请使用具有强身份验证器的标准 VPN/防火墙,或 ASA 类型的设备。

    2 - 将 IPMI/OOB LAN 与常规 LAN 流量分开,不要交叉连接它们,除非连接到其他管理网络。如果需要使用它们,请尝试将 IPMI/OOB 网络关闭到其他 LAN 上。

    3 - 最低权限/拒绝所有(未使用)所有连接的基础设施和用户角色。这个基础设施应该只对安全管理员和网络管理员开放。根据 IPMI 实施,其中一些协议甚至可能不会访问 CPU,因此主机配置可能无助于保护它们。

    4 - 用于访问串行访问集中器/KVM 的强身份验证器。

    5 - 使用专门启用强认证器和潜在角色等的高安全性串行访问集中器。例如,请参阅http://www.raritan.com/cac-reader/以获取安全 KVM/串行解决方案的示例。

    6 - 如果您被迫使用 telnet 或其他不安全的协议,请通过安全的方式(例如 SSH、SSL、IPSEC)将其隧道化

    7 - 锁定 BMC / DRAC 的所有管理工作站

    8 - 如果您的软件支持它,请禁用遗留和不安全的协议,例如 telnet,并优先使用 SSH 或 IPSEC

    9 - 考虑启用审计/日志记录到一个中央位置,特别是在 OOB 访问组件上

    10 - 将认证设备与认证信息源(TACACS/RADIUS 等)分开

    11 - 为正在使用的 IPMI 的长度和版本选择可能最强的身份验证密钥类型。还要考虑随机密码和密码控制。Liberman 的 Enterprise Random Password Manager 看起来非常漂亮。

    12 - 查看一些更高级的网络管理工具是否可以帮助您执行其中的一些操作。IPMI 采纳者列表中的软件供应商可能正在构建其中的某些功能。

    13 - 考虑 IPMI 的潜在替代品,例如 vPro 或其他标准。

    使用的参考资料:

    http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac10mono/en/ug/html/racugc1k.htm

    http://support.dell.com/support/edocs/software/smbmcmu/1.2/en/ug/bmcugc0d.htm

    http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac14modular/en/ug/html/chap07.htm

    http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/SAFE_RG/chap9.html

    http://www.sans.org/reading_room/whitepapers/networkdevs/securing-out-of-band-device-management_906

    http://www.gnu.org/software/freeipmi/manpages/man5/bmc-config.conf.5.html

    http://ipmitool.sourceforge.net/

    http://www.gnu.org/software/freeipmi/

    http://publib.boulder.ibm.com/infocenter/lnxinfo/v3r0m0/topic/liaai/ipmi/liaaiipmi.htm

    http://www.intel.com/design/servers/ipmi/adopterlist.htm

    IPMI 边带如何与主机共享以太网端口?

    http://www.liebsoft.com/Enterprise_Random_Password_Manager/

    • 1

相关问题