O iLO é seguro o suficiente para ser pendurado na WAN

14

Gostaria de saber se o iLO é seguro o suficiente para ser pendurado na WAN, procurei alguns artigos, mas não encontrei nenhum?

Como vocês protegem o iLO? Você o coloca atrás de um firewall?

Você usaria um firewall que pode ser acessado da WAN usando o iLO?

security ilo Lucas Kauffman
fonte
2
O iLO é um pouco de jargão. Por 'iLO', você está se referindo ao produto Lights-Out integrado da HP?
Stefan Lasiewski
sim Integrated Lights-Out :)
Lucas Kauffman
... que também pode ser SUN / Oracle. Na Dell it`s chamado RAC (cartão de acesso remoto) na HP Itanium é MP (processador de gerenciamento) - há muitos mais títulos para estes backend-dispositivos ...
Nils

Respostas:

15

Se sua WAN é uma rede interna, é mais provável que você queira acessá-la através da WAN.

Se por WAN você quer dizer público (ou seja, Internet), esse é um risco à segurança que você terá que avaliar por si mesmo. Pessoalmente, eu não faria nada desse tipo, pois o iLO expõe o controle total da sua máquina. VPN na sua rede, se você quiser acessar.

squillman
fonte
5
+1 Você não deixaria o console do servidor físico em uma área acessível ao público, deixaria?
EEAA
2
+1 Temos o iLO protegido por um firewall, SSH e porta a partir daí.
Chris S
2
@ Chris S É exatamente isso que fazemos, não posso recomendar o uso de um gateway SSH o suficiente. Muito melhor / mais fácil do que precisar de uma VPN completa.
EEAA
12

Embora o iLO (eu sou um cara da HP) esteja quase em toda a sessão SSL / SSH, ele realmente é o acesso ao coração da sua plataforma, então eu vou dizer que você realmente deve VPN nessa camada de rede para adicionar essa proteção adicional .

Chopper3
fonte
4
Parte disso também é descoberta . Se um hacker encontrar um servidor VPN, ele saberá que poderá entrar em algo na sua rede por meio dele. Se eles encontrarem uma página de login do iLO, saberão exatamente o que encontraram.
Chris S
9

O iLO, DRAC, IPMI ou qualquer tipo de controle Fora de Banda só deve ser acessível internamente. A maneira correta de acessar esses serviços via Internet é através de uma VPN segura. E o PPTP estreito * não é uma VPN segura (exceção EAP-TLS), apenas no caso de alguém o considerar.

* desculpe, erro de digitação. Não revisou antes de postar! Se alguém se importa, eu sempre recomendo L2TP / EAP-TLS

ou o venerável L2PT / IPsec

e Chris S. está certo, o PPTP / EAP-TLS é melhor que o IPsec sozinho. O TLS é preferível ao IPsec em geral.

e sinceramente, se o sistema já tiver SSH disponível na rede. Eu usaria apenas o SSH para encaminhar as portas e não lidar com a irritação da VPN.

JM Becker
fonte
1
O PPTP é seguro? Mais frequentemente, é terrivelmente inseguro. Ficar com IPSec ou OpenVPN. Como o FTP, o PPTP é um software antigo que precisa desesperadamente morrer, mas se recusa a fazê-lo.
EEAA
3
O PPTP pode ser muito seguro; mas, como muitas tecnologias, também pode ser configurado de maneira insegura.
Chris S
4

Colocamos esses dispositivos em uma rede separada chamada admin-network. É acessível apenas através de estações de trabalho administrativas conectadas a essa rede. Portanto, no seu caso - a VPN é a coisa a fazer.

Nils
fonte