web-dev-qa-db-ja.com

DellBMCおよびiDRACでのIPMIアクセスを許可されたIP範囲に制限します

一部のDellサーバー(R210、R410、R510)でiDRACとBMCを保護しようとしています。 IPMIコマンドへのアクセスを少数のIPアドレスのみに制限したい。 http://support.Dell.com/support/edocs/software/smdrac3/idrac/idrac10mono/en/ug/html/racugc2d.htm#wp1181529)の手順を使用して、iDracへのアクセスを正常に制限しました。 ですが、IP制限はIPMIに影響しません。現時点では、ポートが不足しているため、個別の管理ネットワークは実用的ではありません。また、一部のDellBMCは個別のポートを提供していません。ネットワークグループから、スイッチはトランキングをサポートしていないと言われているため、VLANタグを使用することもできません。

許可されたアドレスのリストへのIPMIアクセスを制限する方法はありますか?

参考までに、さまざまな理由から、BMC、iDrac Express、およびiDracエンタープライズ管理機能を備えたDellサーバーを組み合わせています。

更新:私の箱はすべて切り替えられた環境にあります。サーバー間または作業用デスクトップ間でNATが発生していません。ipmitool-Ilanplus-Hmyhost -u root -p password -K solactivate "を使用してシリアルと通信していますIPMIを介したコンソール。

Update2:スイッチ環境にいる間、別の部門によって管理されているネットワークスイッチを変更するためのアクセス権がありません。ネットワーク部門は、ルーターにACLを設定することを好みません。また、ポートでVLANタグを使用することはできません。

securitydellipmidracbmc
3
edgester

環境を切り替えてIPMIへのアクセスを制限する必要がある場合、その方法はコアスイッチでACLポリシーを作成することです。これにより、特定のネットワークからこのサブネットまたはサービスへのアクセスを制限できます。これを行うには、INPUTチェーンのみを使用できます。たとえば、IPMIが192.168.110.0/24 VLAN1にあり、デスクトップが10.0.0.0/24 VLAN2にあり、分離LANが10.0.1.0/24 VLAN3にある場合、ルールを設定できます。以下の例のように。ただし、同じサブネット上で制限する場合は、この方法で制限することはできません。制限されたクライアントは別のLAN(ルーティング可能なIP範囲)上にある必要があります。

つまり、コアスイッチでポリシーをロードして指定することができます

#Allow Broadcast
From Any To ff:ff:ff:ff:ff:ff Permit

#Allow Multicast
From Any To 224.0.0.0/4 Permit

#Anti-spoofing rules
From 192.168.110.0/24 to 0.0.0.0/0 VLAN1 Permit
From 0.0.0.0/0 to 192.168.110.0/24 VLAN1 Permit
From 10.0.0.0/24 to 0.0.0.0/0 VLAN2 Permit
From 0.0.0.0/0 to 10.0.0.0/24 VLAN2 Permit
From 10.0.1.0/24 to 0.0.0.0/0 VLAN3 Permit
From 0.0.0.0/0 to 10.0.1.0/24 VLAN3 Permit

#Permit IPMI from VLAN2
#You can narrow this rule to allow IPMI only
From 10.0.0.0/24 to 192.168.110.0/24 Permit
From 192.168.110.0/24 to 10.0.0.0/24 Permit

#Allow VLAN3 to VLAN1
From 10.0.1.0/24 to 10.0.0.0/24 Permit
From 10.0.0.0/24 to 10.0.1.0/24 Permit

#Block any other VLAN to VLAN communication, and allow internet browsing for VLAN3 (destination 0.0.0.0/0)
From 10.0.0.0/8 to 10.0.0.0/8 Deny
From 192.168.0.0/16 to 192.168.0.0/16 Deny
From 10.0.0.0/8 to 192.168.0.0/16 Deny
From 192.168.0.0/16 to 10.0.0.0/8 Deny

From 10.0.1.0/24 to 0.0.0.0/0 Permit
From 0.0.0.0/0 to 10.0.1.0/24 Permit

From 0.0.0.0/0 to 0.0.0.0/0 Deny

ps。コアスイッチ(VLAN間のルーター転送)は、この種のACLを確実にサポートします。

4
Andrew Smith

これは、スイッチの機能と機能セットに応じて実行可能な場合と実行できない場合がある代替アプローチです。

これを拡張するには、使用しているBMC、IPMI、およびDRACのバージョンに基づいて独自の調査を行う必要があります。

以下は、DRACのポートとプロトコルのリストです。ネットワーク全体を構成して、選択した少数のホスト、さらには要塞ホストのみがこれらにアクセスできるようにします。または、IPSを使用して接続をリセットします。これは、UDPベースのプロトコルでは機能しない可能性があります。

DRAC6

 iDRAC6サーバーリスニングポート
ポート番号機能
 22 * SSH 
 23 * Telnet 
 80 * HTTP 
 443 * HTTPS 
 623 RMCP/RMCP + 
 5900 *コンソールリダイレクトキーボード/マウス、仮想メディアサービス、仮想メディアセキュアサービス、コンソールリダイレクトビデオ
構成可能ポート* 
 
表1-4。 iDRAC6クライアントポート
 
ポート番号機能
 25SMTP 
 53 DNS 
 68DHCP割り当てIPアドレス
 69TFTP 
 162SNMPトラップ
 636LDAPS 
 3269グローバルカタログ(GC)用LDAPS

DRAC5

ポート番号機能
(サーバーポート)
 22 *セキュアシェル(SSH)
 23 * Telnet 
 80 * HTTP 
 161SNMPエージェント
 443 * HTTPS 
 623 RMCP/RMCP + 
 3668 *仮想メディアサーバー
 3669 *仮想メディアセキュアサービス
 5900 *コンソールリダイレクトキーボード/マウス
 5901 *コンソールリダイレクトビデオ
 
構成可能ポート* 
 
表1-3。 DRAC5クライアントポート
ポート番号機能
 25SMTP 
 53 DNS 
 68DHCP割り当てIPアドレス
 69TFTP 
 162 SNMPトラップ
 636LDAPS 
 3269グローバルカタログ(GC)用のLDAPS

DRAC 4

 
 
 
接続をリッスンするDRAC4のポート(サーバー)に使用されるDRAC 4ポート番号:
 23Telnet(構成可能)
 80 HTTP(構成可能)
 161SNMPエージェント(構成不可)
 443HTTPS(構成可能)
 3668仮想メディアサーバー(構成可能)
 5869リモートracadmspcmpサーバー(構成不可) 
 5900コンソールリダイレクト(構成可能)
 
 DRAC4がクライアントとして使用するポート:
 25SMTP(構成不可)
 69TFTP(構成可能)
 162SNMPトラップ(構成不可)
 53DNS 
 636 LDAP 
 3269グローバルカタログ(GC)のLDAP

DRAC 3ポート

ポート番号プロトコルの使用法ポートは構成可能ですか?
 
 7UDP/TCPはPing(エコー)に使用されますいいえ
 22SSHセキュアシェルのデフォルトポート番号
 23 TelnetTelnetデフォルトポートはい
 25SMTP Simple Mail TransferProtocolポートいいえ
 53DNSドメインネームサーバー(DNS)デフォルトポートいいえ
 68 bootstrap Wake-on-LANデフォルトポートはい
 69TFTPトリビアルファイル転送プロトコルポートいいえ
 80 HTTP DRAC 4、DRAC III、DRAC I11/XT、ERA、ERA/O、ERA/MC、およびDRAC/MCのデフォルトポートはい
 161 SNMP(get/set)Dell OpenManage Array Manager、DRAC 4、DRAC III、DRAC I11/XT、ERA、ERA/O、ERA /で使用されるSNMPエージェントポートMC、およびDRAC/MCいいえ
 162SNMP(トラップ)SNMPトラップリスナーポートいいえ
 623 Telnet Baseboard Management Controller(BMC)管理ユーティリティのデフォルトポートはい
 636LDAP軽量ディレクトリアクセスプロトコル(LDAP)ポートいいえ
 443HTTPS(SSL)DRAC4デフォルトポートはい
 1311HTTPS(SSL)Dell OpenManage ServerAdministratorデフォルトポートはい[.__ __。] 2148 ArrayManagerクライアントが接続に使用
 2606 Dell OpenManage ITAssistant接続サービスとネットワーク監視サービス間のTCP/IP通信はい
 2607 ITAssistantユーザーインターフェイスと接続間のHTTPS通信サービス
はい
 3269グローバルカタログ(GC)ポートのLDAPLDAPいいえ
 3668VMS仮想メディアサーバーはい
 4995TCP/IP Dell OpenManageクライアントコネクタ(OMCC)デフォルトポートはい
 5869spcmpサーバーリモートracadmspcmpサーバーいいえ
 5900VNCプロキシサーバーコンソールリダイレクトDRACIII、DRAC III/XT、ERA、およびERA/Oのデフォルトポートはい5900

使用された参照:

DRAC 6 http://support.Dell.com/support/edocs/software/smdrac3/idrac/idrac11mono/en/ug/html/racugc1.htm

DRAC 5 http://lists.us.Dell.com/pipermail/linux-poweredge/2006-July/026495.html

DRAC 4 http://support.Dell.com/support/edocs/software/smdrac3/drac4/1.1/en/UG/racugc1.htm

DRAC 3 http://support.Dell.com/support/edocs/software/smsom/4.4/en/ug/security.htm

2
Brennan

IDRAC9の場合、Webインターフェイスを使用できます

iDRAC設定>接続>ネットワーク>ネットワーク設定>詳細ネットワーク設定。

IDRAC8を使用する場合

iDRAC設定>ネットワーク>詳細ネットワーク設定。

iDRAC9に関するDellのドキュメント

0
marsh-wiggle