web-dev-qa-db-ja.com

DelliDracsとBMCにLANインターフェイスの代わりにlanplusを使用するように強制します

Dell BMCと​​iDracカードにlanplusインターフェイスのみを使用させ、安全でない「lan」インターフェイスを使用させない方法はありますか。 IPMI仕様にいくつかの「ファイアウォール」機能があることを理解しています。シャーシなどの間で特定の機能を制限するためですが、このように使用できるかどうかはわかりません。

更新:私の箱はすべて切り替えられた環境にあります。サーバー間または仕事用デスクトップ間でNATが発生していません。ipmitool-Ilanplus-Hmyhost -u root -p password -K solactivate "を使用してシリアルと通信していますIPMIを介したコンソール。

update2:スイッチ環境にいる間、スイッチを制御できません。ホストまたはidrac自体でそれを実行できない場合、それは初心者ではありません。

6
edgester

あなたはできる:

1-DellDRAC構成ユーティリティを使用してDRACインストールをロックダウンします

2-BMC管理ユーティリティを使用してBMCで同じことを行います。最後に私の参考文献をご覧ください。

3-IPMIの実装に応じて、.confファイルを使用してLANインターフェイスを無効にするか、コマンドを実行して無効にするか、LANチャネルをオフにすることができます。

4-使用されているポートを特定して禁止するか、リセットを使用して、ネットワークレベルでIPMI overLANを拒否します。

LANではなくlanplusを使用すると、IPMIのクリアテキストパスワードブロードキャストの問題に役立ちますが、これが最善のアプローチであるとは確信していません。IPMIのレガシーな性質と古い、より弱い暗号を考えると、とにかく安全ではない可能性があります。

それで、私は別の方法であなたの質問をするつもりです。

"iDracとBMCを安全に使用し、安全な帯域外(OOB)ネットワークを作成するにはどうすればよいですか?"

私の理解では、これがあなたが本当にやろうとしていることです。

背景:iDRACとBMCは、LAN接続とシリアル接続の両方を有効にするための帯域外管理デバイスです。 http://en.wikipedia.org/wiki/IBM_Remote_Supervisor_Adapterhttp://en.wikipedia.org/wiki/Dell_DRAC を参照してください。

リスクに基づいて、考慮すべきいくつかのアイデアがあります。

1-安全なOOBLANを作成する場合は、強力なオーセンティケーターを備えた標準のVPN /ファイアウォール、またはASAタイプのデバイスを使用します。

2-IPMI/OOB LANを通常のLANトラフィックから分離し、他の管理ネットワークを除いて、それらを相互接続しないでください。必要に応じて、IPMI/OOBネットワークを他のLANに接続してください。

3-最小特権/接続されているすべてのインフラストラクチャおよびユーザーロールのすべてを拒否(未使用)します。このインフラストラクチャには、セキュリティ管理者とネットワーク管理者のみがアクセスできる必要があります。 IPMIの実装によっては、これらのプロトコルの一部がCPUに到達していない可能性があるため、ホスト構成がそれらの保護に役立たない場合があります。

4-シリアルアクセスコンセントレータ/ KVMにアクセスするための強力なオーセンティケータ。

5-強力なオーセンティケーターや潜在的な役割などを具体的に有効にする高セキュリティのシリアルアクセスコンセントレーターを使用します。例えば。安全なKVM /シリアルソリューションのサンプルについては、 http://www.raritan.com/cac-reader/ を参照してください。

6-telnetまたは別の安全でないプロトコルを強制された場合は、安全なものにトンネリングします。 SSH、SSL、IPSEC

7-BMC/DRACの管理ワークステーションをすべてロックダウンします

8-ソフトウェアがそれをサポートしている場合は、telnetなどのレガシーで安全でないプロトコルを無効にし、できればSSHまたはIPSECを使用します

9-特にOOBアクセスコンポーネントで、中央の場所への監査/ロギングを有効にすることを検討してください

10-認証デバイスを認証情報ソースから分離します(TACACS/RADIUS/etc)

11-使用されているIPMIの長さとバージョンに対応できる最も強力な認証キータイプを選択します。ランダムなパスワードとパスワード制御についても考えます。 LibermanのEnterpriseRandom Password Managerは、これにはかなり気の利いたように見えます。

12-より高度なネットワーク管理ツールのいくつかがあなたのためにこれのいくつかを実行するのを助けるかもしれないかどうか見てください。 IPMI採用者リストのソフトウェアベンダーは、おそらくこの機能の一部を組み込んでいます。

13-vProやその他の標準などのIPMIの潜在的な代替品について考えてください。

使用された参照:

http://support.Dell.com/support/edocs/software/smdrac3/idrac/idrac10mono/en/ug/html/racugc1k.htm

http://support.Dell.com/support/edocs/software/smbmcmu/1.2/en/ug/bmcugc0d.htm

http://support.Dell.com/support/edocs/software/smdrac3/idrac/idrac14modular/en/ug/html/chap07.htm

http://www.Cisco.com/en/US/docs/solutions/Enterprise/Security/SAFE_RG/chap9.html

http://www.sans.org/reading_room/whitepapers/networkdevs/securing-out-of-band-device-management_906

http://www.gnu.org/software/freeipmi/manpages/man5/bmc-config.conf.5.html

http://ipmitool.sourceforge.net/

http://www.gnu.org/software/freeipmi/

http://publib.boulder.ibm.com/infocenter/lnxinfo/v3r0m0/topic/liaai/ipmi/liaaiipmi.htm

http://www.intel.com/design/servers/ipmi/adopterlist.htm

IPMIサイドバンドはイーサネットポートをホストとどのように共有しますか?

http://www.liebsoft.com/Enterprise_Random_Password_Manager/

1
Brennan

私は個人的にこれを試したことがありませんが、すべてのIPMI 1.5認証メカニズムを無効にし、IPMI 2.0認証メカニズムのみを有効にすることは考えられます。これにより、IPMI 2.0(つまり、ipmitool lanplus)接続は機能しますが、すべてのIPMI 1.5(つまり、ipmitool)は機能します。 lan)接続は不可能です。

私はipmitoolよりもFreeIPMIに精通していますが、ipmitoolでは、IPMI1.5認証は「lansetauth」を介して構成され、IPMI2.0は「lansetcipher_privs」を介して構成されていると思います。

(FreeIPMIのbmc-configでは、それぞれLan_Conf_AuthセクションとRmcpplus_Conf_Privilegeセクションです。)

当然、物事をスマートに構成する必要があります。たとえば、認証なしを許可する暗号スイートを有効にすることは本当に悪いことです。

2
Albert Chu