Czy iLO jest wystarczająco bezpieczny, aby zawiesić go w sieci WAN

14

Zastanawiam się, czy iLO jest wystarczająco bezpieczny, aby zawiesić go w sieci WAN. Szukałem artykułów, ale nie mogłem ich znaleźć?

Jak zabezpieczacie iLO? Czy umieszczasz go za firewallem?

Czy użyłbyś zapory, do której można uzyskać dostęp z sieci WAN za pomocą iLO?

Lucas Kauffman
źródło
2
iLO to trochę żargonu. Przez „iLO” masz na myśli zintegrowany produkt HP Lights-Out?
Stefan Lasiewski
tak Zintegrowane wyłączanie oświetlenia :)
Lucas Kauffman
... który może być również SUN / Oracle. W Dell nazywa się RAC (karta zdalnego dostępu) w HP Itanium to MP (procesor zarządzania) - istnieje wiele innych tytułów dla tych urządzeń zaplecza ...
Nils,

Odpowiedzi:

15

Jeśli Twoja sieć WAN jest siecią wewnętrzną, bardziej niż prawdopodobne jest, że będziesz mieć dostęp do niej przez sieć WAN.

Jeśli przez WAN masz na myśli dostęp publiczny (tj. Internet), to jest to ryzyko bezpieczeństwa, które musisz sam ocenić. Osobiście nie zrobiłbym nic takiego, ponieważ iLO udostępnia pełną kontrolę nad twoją maszyną. VPN do sieci, jeśli chcesz uzyskać dostęp.

squillman
źródło
5
+1 Nie zostawiłbyś fizycznej konsoli serwera w ogólnodostępnym miejscu, prawda?
EEAA
2
+1 Mamy iLO za firewallem, SSH do tego i port dalej.
Chris S
2
@Chris S Dokładnie to robimy, nie mogę zalecić wystarczającego korzystania z bramki SSH. O wiele ładniejszy / łatwiejszy niż konieczność zakładania pełnej wersji VPN.
EEAA
12

Chociaż iLO (jestem facetem HP) jest prawie w trakcie sesji SSL / SSH, to naprawdę jest dostęp do serca twojej platformy, więc powiem, że naprawdę powinieneś VPN w tej warstwie sieci, aby dodać tyle dodatkowej ochrony .

Siekacz 3
źródło
4
Częścią tego jest także odkrycie . Jeśli haker znajdzie serwer VPN, wie, że będzie w stanie dostać się do czegoś w sieci za jego pośrednictwem. Jeśli znajdą stronę logowania do iLO, wiedzą dokładnie, co znaleźli.
Chris S
9

iLO, DRAC, IPMI lub dowolny rodzaj kontroli poza pasmem powinien być zawsze dostępny tylko wewnętrznie. Prawidłowym sposobem dostępu do takich usług przez Internet jest bezpieczna sieć VPN. I cieśnina PPTP * nie jest bezpieczną siecią VPN (wyjątek EAP-TLS), na wypadek, gdyby ktoś to wziął pod uwagę.

* przepraszam, literówka. Nie recenzowałem przed opublikowaniem! Jeśli komuś zależy, zawsze polecam L2TP / EAP-TLS

lub czcigodny L2PT / IPsec

a Chris S. ma rację, PPTP / EAP-TLS jest lepszy niż sam IPsec. Ogólnie TLS jest preferowane w stosunku do IPsec.

i prawdę mówiąc, jeśli system ma już SSH dostępne w sieci. Chciałbym po prostu użyć SSH do przekierowania portów i nie radzić sobie z irytacją VPN.

JM Becker
źródło
1
PPTP jest bezpieczny? Najczęściej jest to strasznie niepewne. Trzymaj się IPSec lub OpenVPN. Podobnie jak FTP, PPTP to stare oprogramowanie, które desperacko musi umrzeć, ale odmawia.
EEAA
3
PPTP może być bardzo bezpieczny; ale podobnie jak wiele technologii można go również skonfigurować w sposób niepewny.
Chris S
4

Umieszczamy te urządzenia w oddzielnej sieci o nazwie admin-network. Jest dostępny tylko przez administracyjne stacje robocze podłączone do tej sieci. Więc w twoim przypadku - VPN jest tym, co należy zrobić.

Nils
źródło