Достаточно ли безопасен iLO, чтобы его можно было повесить в глобальной сети?

14

Мне интересно, достаточно ли безопасен iLO, чтобы его можно было повесить в глобальной сети? Я искал некоторые статьи, но не мог их найти?

Как вы, ребята, обезопасили iLO? Вы помещаете это позади брандмауэра?

Будете ли вы использовать брандмауэр, доступ к которому можно получить из глобальной сети с помощью iLO?

Лукас Кауфман
источник
2
ИЛО - это маленькая жаргония. Под «iLO» вы имеете в виду продукт HP Integrated Lights-Out?
Стефан Ласевский
да Встроенный световой выход :)
Лукас Кауфман
... который также может быть SUN / Oracle. В Dell это называется RAC (карта удаленного доступа), в HP Itanium это MP (процессор управления) - есть еще много названий для этих backend-устройств ...
Nils

Ответы:

15

Если ваша WAN является внутренней сетью, то, скорее всего, вы захотите получить к ней доступ через WAN.

Если под WAN вы имеете в виду общедоступность (то есть Интернет), то это риск для безопасности, который вам придется оценить для себя. Лично я бы ничего такого не делал, поскольку iLO предоставляет полный контроль над вашей машиной. VPN в вашу сеть, если вы хотите доступ.

squillman
источник
5
+1 Вы бы не оставили консоль физического сервера в общедоступной зоне?
EEAA
2
+1 У нас есть iLO за брандмауэром, SSH в него и порт оттуда.
Крис С
2
@Chris S Это именно то, что мы делаем, не можем рекомендовать использование шлюза SSH. Гораздо приятнее / проще, чем привязка к полноценному VPN.
EEAA
12

Хотя iLO (я парень из HP) почти на всем протяжении сеанса SSL / SSH, на самом деле это доступ к сердцу вашей платформы, поэтому я хочу сказать, что вам действительно нужно подключить VPN к этому сетевому уровню, чтобы добавить дополнительную защиту ,

Chopper3
источник
4
Частично это тоже открытие . Если хакер найдет VPN-сервер, он знает, что через него он сможет проникнуть во что-то в вашей сети. Если они находят страницу входа в iLO, они точно знают, что нашли.
Крис С
9

iLO, DRAC, IPMI или любой другой тип управления Out of Band должны быть доступны только внутри. Правильный способ доступа к таким услугам через Интернет - через безопасный VPN. И прямой PPTP * не является безопасным VPN (за исключением EAP-TLS), на тот случай, если это кто-то считает.

* извини, опечатка. Не рецензировал перед публикацией! Если кто-то заботится, я всегда рекомендую L2TP / EAP-TLS

или почтенный L2PT / IPsec

и Крис С. прав, PPTP / EAP-TLS лучше, чем один IPsec. TLS в целом предпочтительнее, чем IPsec.

и, честно говоря, если система уже имеет доступ по SSH через сеть. Я бы просто использовал SSH для переадресации портов и не справлялся с раздражением VPN.

Дж. М. Беккер
источник
1
PPTP безопасен? Чаще всего это ужасно небезопасно. Придерживайтесь либо IPSec, либо OpenVPN. Как и FTP, PPTP - это старая программа, которая отчаянно нуждается в смерти, но отказывается это делать.
EEAA
3
PPTP может быть очень безопасным; но, как и многие технологии, он может быть небезопасно настроен.
Крис С
4

Мы помещаем эти устройства в отдельную сеть под названием admin-network. Он доступен только через административные рабочие станции, подключенные к этой сети. Так что в вашем случае - VPN это то, что нужно сделать.

Nils
источник