1 votes

Mare avatar

IPMI uniquement sur HTTP

Demandé el 21 de Décembre, 2015
Quand la question a-t-elle été
820 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

Je suis actuellement en train d'effectuer un examen de sécurité pour un client et je suis confus à propos du cas IPMI.

Si je ne me trompe pas, le protocole est défectueux de par sa conception, exposant ainsi directement le service IPMI (udp/623) sur le réseau à l'extraction des hachages de mots de passe.

Sachant cela, est-ce une bonne mesure d'atténuation de n'autoriser IPMI que sur HTTP (c'est-à-dire via l'interface web fournie par plusieurs fournisseurs comme Dell, SuperMicro etc...) ?

Et en conclusion, est-ce possible ? ! Ou le port spécifique à l'IPMI doit-il être toujours en écoute ?

Merci pour vos réponses.

Demandé el 21 de Décembre, 2015 par Mare

3 votes

Avatar de balasubramani

IPMI n'est pas un protocole sécurisé. Il suppose que le réseau est privé. Vous ne devriez vraiment pas essayer de faire cela à distance. Je vous recommande vivement d'installer un autre appareil sur le réseau afin de pouvoir établir un tunnel sécurisé avant de pouvoir accéder à quoi que ce soit à ce niveau.

Commenté el 21 de Décembre, 2015 par balasubramani

0 votes

Avatar de Mare

@tudor Je le sais :D Comme vous l'avez dit, le réseau est lui-même sécurisé par conception, mais je veux avoir de nombreux comptes gérés sur la BMC, sans exposer les hashs de mots de passe. Plus précisément, je veux donner un accès restreint aux utilisateurs et garder le hash de mon administrateur sécurisé.

Commenté el 21 de Décembre, 2015 par Mare

Réponse

Trop de publicités?

0voto

balasubramani avatar
balasubramani Points 11

La réponse courte est oui, HTTPS est possible et le port 621 d'udp n'est pas nécessairement requis. La page Wikipédia actuelle indique ce qui suit sous la rubrique "Current Security Status" (état actuel de la sécurité) aquí .

IPMI prend en charge l'utilisation de SSL par le biais de HTTPS pour une communication sécurisée. avec des certificats.

L'utilisation de mots de passe courts par défaut, ou les piratages de type "chiffrement 0" peuvent être facilement facilement avec l'utilisation d'un serveur RADIUS pour l'authentification, l'authentification, l'autorisation et la comptabilité sur SSL, comme c'est le cas dans un centre de données ou tout autre déploiement de moyenne ou grande envergure. Le serveur RADIUS de l'utilisateur peut être configuré pour stocker l'AAA de manière sécurisée dans une base de données LDAP en utilisant base de données LDAP de manière sécurisée en utilisant FreeRADIUS/OpenLDAP ou Microsoft Active Directory et les services associés.

...

Par conséquent, la meilleure pratique prudente consiste à désactiver l'utilisation de la fonction rôles d'opérateur et d'administrateur dans LDAP/RADIUS, et de les activer uniquement que lorsque l'administrateur LDAP/RADIUS en a besoin. Par exemple, dans RADIUS, un rôle peut voir son paramètre Auth-Type modifié en :

Auth-Type := Reject

En procédant ainsi, les attaques de hachage RAKP ne pourront pas réussir puisque le nom d'utilisateur sera rejeté par le serveur RADIUS.

Répondu el 22 de Décembre, 2015 par balasubramani (11 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X