Ограничьте доступ IPMI на Dell BMC и iDRAC до разрешенного диапазона IP-адресов
Я пытаюсь защитить iDRAC и BMC на некоторых из моих серверов Dell (R210, R410, R510). Я хочу ограничить доступ к командам IPMI только несколькими IP-адресами. Я успешно ограничил доступ к iDrac, используя инструкции из http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac10mono/en/ug/html/racugc2d.htm, но IP ограничения не влияют на IPMI. В настоящее время отдельная сеть управления нецелесообразна из-за недостатка или наличия портов, а некоторые контроллеры BMC Dell не предлагают отдельный порт. Моя сетевая группа говорит мне, что наши коммутаторы не поддерживают транкинг, поэтому использование тегов vlan также не вариант.
Есть ли способ ограничить доступ IPMI к списку разрешенных адресов?
К вашему сведению, по разным причинам у меня есть набор серверов Dell с функциями управления предприятием BMC, iDrac Express и iDrac.
Обновление: все мои коробки находятся в коммутируемой среде. Между моими серверами или рабочим столом не происходит NAT. Я использую ipmitool -I lanplus -H myhost -u root -p пароль -K sol активировать "для связи с последовательной консолью через IPMI.
Обновление 2: пока я нахожусь в коммутируемой среде, у меня нет доступа для изменения сетевых коммутаторов, которыми управляет другой отдел. Сетевой отдел не любит устанавливать ACL на маршрутизаторах и не может / не будет использовать теги vlan на наших портах.
2 ответа
Если вы переключили среду и вам нужно ограничить доступ к IPMI, способ сделать это - создать политику ACL на основном коммутаторе, чтобы таким образом вы могли ограничить доступ из определенных сетей к этой подсети или услуге. Вы можете использовать только цепочку INPUT для этого, например, если ваш IPMI находится на 192.168.110.0/24 VLAN1, а ваш рабочий стол на 10.0.0.0/24 VLAN2, а изолированная локальная сеть на 10.0.1.0/24 VLAN3, вы можете настроить правило как на примере ниже. Однако, если вы хотите ограничить его в одной подсети, это не будет сделано и не может быть сделано таким образом, клиент с ограниченным доступом должен находиться в другой локальной сети (диапазон маршрутизируемого IP-адреса).
Итак, на основном коммутаторе вы можете загрузить политику и указать
#Allow Broadcast
From Any To ff:ff:ff:ff:ff:ff Permit
#Allow Multicast
From Any To 224.0.0.0/4 Permit
#Anti-spoofing rules
From 192.168.110.0/24 to 0.0.0.0/0 VLAN1 Permit
From 0.0.0.0/0 to 192.168.110.0/24 VLAN1 Permit
From 10.0.0.0/24 to 0.0.0.0/0 VLAN2 Permit
From 0.0.0.0/0 to 10.0.0.0/24 VLAN2 Permit
From 10.0.1.0/24 to 0.0.0.0/0 VLAN3 Permit
From 0.0.0.0/0 to 10.0.1.0/24 VLAN3 Permit
#Permit IPMI from VLAN2
#You can narrow this rule to allow IPMI only
From 10.0.0.0/24 to 192.168.110.0/24 Permit
From 192.168.110.0/24 to 10.0.0.0/24 Permit
#Allow VLAN3 to VLAN1
From 10.0.1.0/24 to 10.0.0.0/24 Permit
From 10.0.0.0/24 to 10.0.1.0/24 Permit
#Block any other VLAN to VLAN communication, and allow internet browsing for VLAN3 (destination 0.0.0.0/0)
From 10.0.0.0/8 to 10.0.0.0/8 Deny
From 192.168.0.0/16 to 192.168.0.0/16 Deny
From 10.0.0.0/8 to 192.168.0.0/16 Deny
From 192.168.0.0/16 to 10.0.0.0/8 Deny
From 10.0.1.0/24 to 0.0.0.0/0 Permit
From 0.0.0.0/0 to 10.0.1.0/24 Permit
From 0.0.0.0/0 to 0.0.0.0/0 Deny
пс. Ваш основной коммутатор (переадресация маршрутизатора между VLAN) определенно поддерживает этот вид ACL.
Вот альтернативный подход, который может или не может быть осуществимым в зависимости от вашей функциональности коммутатора и набора функций.
Вам нужно будет провести собственное исследование, чтобы расширить его на основе имеющихся у вас версий BMC, IPMI и DRAC.
Ниже приведен список портов и протоколов DRAC. Сконфигурируйте всю свою сеть, чтобы сделать их доступными только для нескольких избранных хостов или, что еще лучше, для хоста-бастиона, или, в качестве альтернативы, для сброса соединений с использованием IPS, который может не работать ни для каких протоколов на основе UDP.
DRAC6
Порты прослушивания сервера iDRAC6 Номер порта Функция 22* SSH 23* Телнет 80* HTTP 443* HTTPS 623 RMCP/RMCP+ 5900* клавиатура / мышь перенаправления консоли, служба виртуальных носителей, служба защиты виртуальных носителей, видео перенаправления консоли Конфигурируемый порт * Таблица 1-4. Порты клиента iDRAC6 Номер порта Функция 25 SMTP 53 DNS 68 DHCP-назначенный IP-адрес 69 TFTP 162 ловушка SNMP 636 LDAPS 3269 LDAPS для глобального каталога (GC)
DRAC5
Номер порта Функция (порты сервера) 22* Secure Shell (SSH) 23* Telnet 80* HTTP 161 Агент SNMP 443* HTTPS 623 RMCP/RMCP+ 3668* Сервер виртуального носителя 3669* Служба виртуального носителя 5900 * Клавиатура / мышь перенаправления консоли 5901* Console Redirection video Конфигурируемый порт * Таблица 1-3. Клиентские порты DRAC 5 Номер порта Функция 25 SMTP 53 DNS 68 IP-адрес, назначенный DHCP 69 TFTP 162 SNMP-ловушка 636 LDAPS 3269 LDAPS для глобального каталога (GC)
DRAC 4
Номер порта DRAC 4, используемый для Порты на DRAC 4, прослушивающие соединение (сервер): 23 Telnet (настраивается) 80 HTTP (настраивается) 161 агент SNMP (не настраивается) 443 HTTPS (настраивается) 3668 Виртуальный медиа-сервер (настраивается) 5869 Удаленный сервер racadm spcmp (не настраивается) Перенаправление консоли 5900 (настраивается) Порты, которые DRAC 4 использует в качестве клиента: 25 SMTP (не настраивается) 69 TFTP (не настраивается) 162 SNMP-ловушка (не настраивается) 53 DNS 636 LDAP 3269 LDAP для глобального каталога (GC)
DRAC 3 порта
Использование протокола номера порта Порт настраивается? 7 UDP / TCP используется для пинга (эхо) Нет 22 Порт SSH Secure Shell по умолчанию нет 23 Telnet Telnet порт по умолчанию Да 25 SMTP Порт протокола простой передачи почты 53 DNS Сервер имени домена (DNS) по умолчанию порт Нет 68 начальной загрузки Wake-on-LAN порт по умолчанию Да 69 TFTP Нет. Порт протокола передачи файлов Нет 80 HTTP DRAC 4, DRAC III, DRAC I11/XT, ERA, ERA/O, ERA/MC и DRAC / MC порт по умолчанию Да 161 SNMP (получить / установить) порт агента SNMP, используемый Dell OpenManage Array Manager, DRAC 4, DRAC III, DRAC I11/XT, ERA, ERA/O, ERA/MC и DRAC / MC Нет. 162 SNMP (ловушки) SNMP порт ловушек ловушек Нет 623 Порт утилиты управления Telnet Baseboard Management Controller (BMC) по умолчанию Да 636 Порт LDAP, облегченный протокол доступа к каталогам (LDAP) Нет 443 HTTPS (SSL) DRAC 4 порт по умолчанию Да 1311 HTTPS (SSL) Порт по умолчанию для администратора сервера Dell OpenManage Да 2148 Используется клиентами Array Manager для подключения 2606 TCP/IP Связь между службой подключения Dell OpenManage IT Assistant и службой мониторинга сети Да 2607 HTTPS Связь между пользовательским интерфейсом IT Assistant и службой соединения да 3269 LDAP LDAP для порта глобального каталога (GC) Нет 3668 VMS Virtual Media сервер Да 4995 TCP/IP Порт по умолчанию для клиентского соединителя Dell OpenManage (OMCC) Да Сервер 5869 spcmp Удаленный сервер racadm spcmp Нет Прокси-сервер 5900 VNC Порт по умолчанию для перенаправления консоли для DRAC III, DRAC III/XT, ERA и ERA / O Да 5900
Использованные ссылки:
DRAC 6 http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac11mono/en/ug/html/racugc1.htm
DRAC 5 http://lists.us.dell.com/pipermail/linux-poweredge/2006-July/026495.html
DRAC 4 http://support.dell.com/support/edocs/software/smdrac3/drac4/1.1/en/UG/racugc1.htm
DRAC 3 http://support.dell.com/support/edocs/software/smsom/4.4/en/ug/security.htm
Для iDRAC9 вы можете использовать веб-интерфейс
Настройки iDRAC> Связь> Сеть> Настройки сети> Расширенные настройки сети.
Для iDRAC8 используйте
Настройки iDRAC> Сеть> Расширенные настройки сети.