web-dev-qa-db-ja.com

DRAC / ILOの保護

重複の可能性:
iLOはWANにハングアップするのに十分安全ですか

これはばかげた質問かもしれませんが、DRAC/ILOには両方ともHTTPサーバーインターフェイスがあります。

IPのポート80をトローリングしていて、そのようなページに出くわした場合、それをクラックできればサーバーをある程度制御できる(別のサーバーをインストールする可能性がある)という意味で、それが価値の高いターゲットであることがわかります。 OS)。

ポートを変更する以外に、インターネットに接続されたパブリックマシンでDRAC/ILOを保護するためのベストプラクティスは何ですか?

2
The Diamond Z

どちらも独自のSSL証明書のアップロードを受け入れるので、それが私が最初に行うことです。これらのサーバーが十分にある場合は、独自の証明書サーバーがあり、その証明書が信頼できる発行元としてインストールされている可能性があります。

念のために言っておきますが、接続しているILO/iDracが自分のものであり、ハニーポットにリダイレクトされていないことを確認するだけです。

それらを保護するために私たちが行うもう1つのことは、それらをパブリックインターネットに面させないことです。すべてのiDracは別の​​VLANにあり、VPNに接続した後にのみアクセスできます。これはいくつかのことを意味します:

  1. VPNがダウンし、デバイスにアクセスする別の方法が必要になります
  2. DracでパブリックIPアドレスを「無駄にしている」わけではありません
  3. VPNに接続していない人は誰もデバイスにアクセスできません

そうは言っても、iDracをパブリックIPに配置したクライアントが1人います。あなたがその道を進むつもりなら:

  1. 可能であれば、iDrac/ILOの前にあるファイアウォールでIPアドレスを制限します。どこに行くのかわからない場合は難しいこともありますが、知っている場合は決して参加しませんたとえば、中国なら、そこから始めるのが良いでしょう。アクセス先の国に属するIPをホワイトリストに登録すると、大量の悪意のあるトラフィックをブロックできます。
  2. 神のために、デフォルトのパスワードを変更します。 KeePass または similar のようなものを使用して、64文字のパスワードを生成します。これが重要である理由についてもっと知りたい場合は、 このブログ投稿を見てください を持っています。実際にはハッシュについてですが、要点は同じです。それから1つだけ取り除けば、デバイスに脆弱性があり、ユーザーデータベースのコピーを取得できた場合、8文字の基本パスワードを4時間で解読することができます。
7
Mark Henderson

あなたはそれらをインターネットに載せません。 VPNを使用します。

5
Lucas Kauffman

最も一般的な方法は、DRAC/iLOポートを外部にルーティングされたネットワークから実際に離しておくことです。通常、 RFC1918 プライベートIPスペースを利用し、外部エッジルーターを介してルーティングされない管理ネットワークがあります。外部IPアドレスからDRAC/iLOにアクセスする必要がないため、プライベートIPスペースは、ハッカーになる可能性のある人の目を盗まないようにするための最良の方法です。それらにリモートでアクセスできるようにする必要がある場合は、リモートソースからVPNに接続すると、DRAC/iLO管理ネットワークにアクセスできるVPNソリューションが得られます。

2
Jeremy Bouse