Možnosti zabezpečení IPMI
Úvod
IPMI (Intelligent Platform Management Interface) je standardizované rozhraní, které umožňuje server vzdáleně spravovat nezávisle na funkčnosti operačního systému. IPMI doporučujeme využít třeba ve chvíli, kdy evidujete problémy s přihlášením na server, pro účely restartování, konfigurace BIOS nebo monitoringu hardwarových zdrojů. Tento návod popisuje možnosti, jak lze rozhraní pro vzdálenou správu zabezpečit.
Pokud využíváte službu dedikovaný server nebo server housing a přejete si zabezpečit IPMI některou z uvedených možností, napište nám na support@master.cz nebo vytvořte ticket v Zákaznické administraci.
Zranitelnost IPMI
IPMI může být ohroženo rizikem neoprávněného přístupu k systému. Útočníci často zneužívají slabá hesla, chyby v implementaci protokolů nebo všeobecně známé zranitelnosti, aby skrze IPMI získali kontrolu nad serverem.
IPMI renomovaných výrobců, např. Dell, HP a další, jsou obecně bezpečnější, a to díky bezproblémové dostupnosti bezpečnostních aktualizací, ale i rychlé nápravě problémů ze strany výrobců.
V MasterDC používáme pro Dell servery jako IPMI vestavěný management iDRAC.
iDRAC zabezpečujeme vedle nepřetržitého monitoringu a pravidelných aktualizací i dostatečně silnými hesly, které můžeme na přání zesílit. Při opakovaných pokusech o prolomení hesla pak konkrétní IP adresu iDRAC blokuje na 600 vteřin. Nabízíme také možnost deaktivace služby SSH, přes niž dochází k pokusům o prolomení hesla u iDRAC nejčastěji.
Pravděpodobnost úspěšného proniknutí útočníka na server prostřednictvím rozhraní iDRAC je v MasterDC velmi nízká. V praxi jsme se s ním za desítky let provozu stovek serverů nesetkali. Přesto pokud využíváte službu dedikovaný server nebo server housing můžeme zabezpečit váš přístup k IPMI pomocí níže uvedených možností.
Zabezpečení IPMI
Pro posílení bezpečnosti IPMI můžete využít:
- Statické ACL pro veřejnou IP adresu IPMI (omezení přístupu)
- Přesunutí IP adresy IPMI do interní sítě
Statické ACL pro veřejnou IP adresu IPMI (omezení přístupu)
ACL (Access Control List) je seznam obsahující specifické IP adresy nebo síťové rozsahy, které mají povolený přístup k IPMI.
Při této variantě nejprve definujeme seznam povolených IP adres nebo síťových rozsahů pro IPMI. Seznam může obsahovat maximálně 16 různých sítí. Tyto IP a rozsahy budou uloženy v ACL (Access Control List), který je součástí konfigurace portu switche poskytujícího konektivitu IPMI.
Po aplikaci ACL začne switch fitrovat síťový provoz přicházející na IPMI na úrovni fyzického portu.
Přesunutí IP adresy IPMI do interní sítě
Při této metodě zabezpečení nahradíme veřejnou IP adresu IPMI interní IP adresou. Interní IP je přístupná pouze v rámci interní sítě. Díky tomu se IPMI stane nepřístupným přímo z veřejného internetu.
Pro zabezpečení bude IP adresa IPMI umístěna do vyhrazené části sítě, která je oddělena pomocí technologie VRF (Virtual Routing and Forwarding). Tato technologie umožňuje vytvořit izolované síťové prostředí v rámci jedné fyzické sítě. Bezpečné spojení mezi externím zařízením a touto izolovanou částí sítě zajistí šifrovaná VPN postavená na technologii OpenVPN. Pro připojení do interní sítě se používá software OpenVPN klient. Vlastní provoz na IPMI pak prochází centrálním firewallem, který provede filtraci provozu.
Pokud si přejete zabezpečit připojení k IPMI některou z uvedených možností, napište nám na support@master.cz nebo vytvořte ticket v Zákaznické administraci.