Ist iLO sicher genug, um am WAN aufgehängt zu werden?

14

Ich frage mich, ob iLO sicher genug ist, um am WAN aufgehängt zu werden. Ich habe nach Artikeln gesucht, konnte aber keine finden.

Wie sichert ihr euch iLO? Stellen Sie es hinter eine Firewall?

Würden Sie eine Firewall verwenden, auf die über iLO vom WAN aus zugegriffen werden kann?

Lucas Kauffman
quelle
2
iLO ist ein bisschen Jargon. Mit "iLO" meinen Sie das integrierte Lights-Out-Produkt von HP?
Stefan Lasiewski
ja Integrated Lights-out :)
Lucas Kauffman
... das könnte auch SUN / Oracle sein. Auf Dell heißt es RAC (Remote Access Card) auf HP Itanium ist es MP (Management Processor) - es gibt viele weitere Titel für diese Backend-Geräte ...
Nils

Antworten:

15

Wenn es sich bei Ihrem WAN um ein internes Netzwerk handelt, möchten Sie höchstwahrscheinlich über das WAN darauf zugreifen können.

Wenn Sie mit WAN die öffentliche Wahrnehmung (z. B. Internet) meinen, dann ist dies ein Sicherheitsrisiko, das Sie selbst bewerten müssen. Ich persönlich würde nichts dergleichen tun, da iLO die volle Kontrolle über Ihre Maschine hat. VPN in Ihr Netzwerk, wenn Sie Zugriff möchten.

Squillman
quelle
5
+1 Sie würden die physische Serverkonsole nicht in einem öffentlich zugänglichen Bereich belassen, oder?
EEAA
2
+1 Wir haben iLO hinter einer Firewall, SSH drin und Port Forward von dort.
Chris S
2
@Chris S Genau das tun wir, wir können die Verwendung eines SSH-Gateways nicht genug empfehlen. Viel schöner / einfacher als ein vollwertiges VPN anzuschließen.
EEAA
12

Obwohl iLO (ich bin ein HP-Typ) fast alle SSL / SSH-Sitzungen durchläuft, ist es wirklich der Zugriff auf das Herzstück Ihrer Plattform. Ich sage also, dass Sie wirklich VPN in diese Netzwerkschicht einbinden sollten, um so viel zusätzlichen Schutz zu bieten .

Chopper3
quelle
4
Ein Teil davon ist auch Entdeckung . Wenn ein Hacker einen VPN - Server findet, wissen , dass sie sie in der Lage sein werden , in zu erhalten , etwas in Ihrem Netzwerk durch. Wenn sie eine iLO-Anmeldeseite finden, wissen sie genau, was sie gefunden haben.
Chris S
9

Auf iLO, DRAC, IPMI oder andere Out-of-Band-Steuerungstypen sollte immer nur intern zugegriffen werden können. Der korrekte Zugriff auf solche Dienste über das Internet erfolgt über ein sicheres VPN. Und Strait PPTP ist * kein sicheres VPN (Ausnahme: EAP-TLS), nur für den Fall, dass jemand dies in Betracht zieht.

* Entschuldigung, Tippfehler. Vor dem Posten noch nicht bewertet! Wenn es jemanden interessiert, empfehle ich immer L2TP / EAP-TLS

oder das ehrwürdige L2PT / IPsec

und Chris S. hat recht, PPTP / EAP-TLS ist besser als IPsec allein. TLS wird im Allgemeinen gegenüber IPsec bevorzugt.

und ehrlich gesagt, wenn das System bereits über SSH über das Netz verfügt. Ich würde nur SSH verwenden, um die Ports weiterzuleiten und nicht mit der Irritation von VPN umzugehen.

JM Becker
quelle
1
PPTP ist sicher? Meistens ist es schrecklich unsicher. Bleibe entweder bei IPSec oder OpenVPN. Wie FTP ist PPTP eine alte Software, die dringend sterben muss, sich aber weigert, dies zu tun.
EEAA
3
PPTP kann sehr sicher sein. Aber wie viele andere Technologien kann es auch unsicher eingerichtet werden.
Chris S
4

Wir stellen diese Geräte in ein separates Netzwerk, das als Admin-Netzwerk bezeichnet wird. Der Zugriff ist nur über Admin-Workstations möglich, die mit diesem Netzwerk verbunden sind. In Ihrem Fall ist VPN das Richtige.

Nils
quelle