15.03.2021

Безопасный доступ к IPMI

Безопасный доступ к IPMI IPMI - это незаменимая вещь как для мониторинга здоровья выделенного сервера, так и для доступа к операционной системе сервера во внештатных ситуациях, когда недоступны сервисы удаленного доступа (SSH, RDP).

Проблема

Как обидно бывает в самый неподходящий момент обнаружить, что IPMI недоступно. А последнее время это бывает достаточно часто, особенно на более старых серверах. Все дело в том, что в интернете постоянно происходят автоматизированные brute force атаки. IPMI выполняется на отдельном чипе, мощности которого достаточно для обеспечения работоспособности веб-интерфейса, но его легко вывести из строя путем подбора пароля по SSH или большим количеством подключений.

Решение

Теперь IPMI всех серверов доступно только внутри нашей сети, где значительно безопаснее, чем в интернете. Мы разработали специальное приложение, которые работает как шлюз. Таким образом, IPMI доступно по протоколам SSH и RMCP только внутри сети, а веб-интерфейс доступен в интернет через шлюз на нестандартном порту.

Доступ осуществляется по доменному имени через безопасное HTTPS-подключение с современным SSL-сертификатом даже для тех серверов, где IPMI доступно только по HTTP. Кроме веб-интерфейса шлюз также обслуживает консоль (iKVM) и Virtual Media.

Современные требования безопасности

В связи с обнаружением уязвимостей, а также ростом производительности, некоторые протоколы шифрования достаточно быстро устарели. Таким образом, относительно современные на текущий момент серверы HP 7-го поколения, которые имеют 3-ю версию iLO, уже невозможно открыть ни в одном браузере актуальной версии. Благодаря нашему решению стал доступен веб-интерфейс и iLO2 и iLO3.

Кроме того, для iLO2 мы реализовали возможность подключения ISO-образов и Java веб-консоль.

Содержание