Možnosti zabezpečení IPMI

Úvod

IPMI (Intelligent Platform Management Interface) je standardizované rozhraní, které umožňuje server vzdáleně spravovat nezávisle na funkčnosti operačního systému. IPMI doporučujeme využít třeba ve chvíli, kdy evidujete problémy s přihlášením na server, pro účely restartování, konfigurace BIOS nebo monitoringu hardwarových zdrojů. Tento návod popisuje možnosti, jak lze rozhraní pro vzdálenou správu zabezpečit.

Pokud využíváte službu dedikovaný server nebo server housing a přejete si zabezpečit IPMI některou z uvedených možností, napište nám na support@master.cz nebo vytvořte ticket v Zákaznické administraci.

Zranitelnost IPMI

IPMI může být ohroženo rizikem neoprávněného přístupu k systému. Útočníci často zneužívají slabá hesla, chyby v implementaci protokolů nebo všeobecně známé zranitelnosti, aby skrze IPMI získali kontrolu nad serverem.

IPMI renomovaných výrobců, např. Dell, HP a další, jsou obecně bezpečnější, a to díky bezproblémové dostupnosti bezpečnostních aktualizací, ale i rychlé nápravě problémů ze strany výrobců.

V MasterDC používáme pro Dell servery jako IPMI vestavěný management iDRAC.

iDRAC zabezpečujeme vedle nepřetržitého monitoringu a pravidelných aktualizací i dostatečně silnými hesly, které můžeme na přání zesílit. Při opakovaných pokusech o prolomení hesla pak konkrétní IP adresu iDRAC blokuje na 600 vteřin. Nabízíme také možnost deaktivace služby SSH, přes niž dochází k pokusům o prolomení hesla u iDRAC nejčastěji.

Pravděpodobnost úspěšného proniknutí útočníka na server prostřednictvím rozhraní iDRAC je v MasterDC velmi nízká. V praxi jsme se s ním za desítky let provozu stovek serverů nesetkali. Přesto pokud využíváte službu dedikovaný server nebo server housing můžeme zabezpečit váš přístup k IPMI pomocí níže uvedených možností.

Zabezpečení IPMI

Pro posílení bezpečnosti IPMI můžete využít:

Statické ACL pro veřejnou IP adresu IPMI (omezení přístupu)

ACL (Access Control List) je seznam obsahující specifické IP adresy nebo síťové rozsahy, které mají povolený přístup k IPMI.

Důležité: ACL je nestavová filtrace. To znamená, že IPMI např. nebude volně komunikovat s internetem mimo definované sítě v rámci ACL. Komunikace však může probíhat s jakýmkoli zařízení v síti ze seznamu.

Při této variantě nejprve definujeme seznam povolených IP adres nebo síťových rozsahů pro IPMI. Seznam může obsahovat maximálně 16 různých sítí. Tyto IP a rozsahy budou uloženy v ACL (Access Control List), který je součástí konfigurace portu switche poskytujícího konektivitu IPMI.

Po aplikaci ACL začne switch fitrovat síťový provoz přicházející na IPMI na úrovni fyzického portu.

Přesunutí IP adresy IPMI do interní sítě

Při této metodě zabezpečení nahradíme veřejnou IP adresu IPMI interní IP adresou. Interní IP je přístupná pouze v rámci interní sítě. Díky tomu se IPMI stane nepřístupným přímo z veřejného internetu.

Pro zabezpečení bude IP adresa IPMI umístěna do vyhrazené části sítě, která je oddělena pomocí technologie VRF (Virtual Routing and Forwarding). Tato technologie umožňuje vytvořit izolované síťové prostředí v rámci jedné fyzické sítě. Bezpečné spojení mezi externím zařízením a touto izolovanou částí sítě zajistí šifrovaná VPN postavená na technologii OpenVPN. Pro připojení do interní sítě se používá software OpenVPN klient. Vlastní provoz na IPMI pak prochází centrálním firewallem, který provede filtraci provozu.

Pokud si přejete zabezpečit připojení k IPMI některou z uvedených možností, napište nám na support@master.cz nebo vytvořte ticket v Zákaznické administraci.

Poznámka: Instrukce pro připojení k OpenVPN z Windows, Andriod, macOS a iOS najdete v samostatném návodu Postup pro připojení k OpenVPN.

Kategorie:

Zabezpečení serverů

Servery

Virtuální servery VPS

Cloud server hosting

Dedikovaný server

Server housing

Živý server

Managed server

Database as a service

Nextcloud server

Technologie

Modernizace IT

Bezpečnost IT

Dostupnost

Vývoj SW

Kdo jsme

Events