Безопасный доступ к IPMI

Проблема

Как обидно бывает в самый неподходящий момент обнаружить, что IPMI недоступно. А последнее время это бывает достаточно часто, особенно на более старых серверах. Все дело в том, что в интернете постоянно происходят автоматизированные brute force атаки. IPMI выполняется на отдельном чипе, мощности которого достаточно для обеспечения работоспособности веб-интерфейса, но его легко вывести из строя путем подбора пароля по SSH или большим количеством подключений.

Решение

Теперь IPMI всех серверов доступно только внутри нашей сети, где значительно безопаснее, чем в интернете. Мы разработали специальное приложение, которое работает как шлюз. Таким образом, IPMI доступно по протоколам SSH и RMCP только внутри сети, а веб-интерфейс доступен в интернет через шлюз на нестандартном порту. Доступ осуществляется по доменному имени через безопасное HTTPS-подключение с современным SSL-сертификатом даже для тех серверов, где IPMI доступно только по HTTP. Кроме веб-интерфейса шлюз также обслуживает консоль (iKVM) и Virtual Media.

Современные требования безопасности

В связи с обнаружением уязвимостей, а также ростом производительности, некоторые протоколы шифрования достаточно быстро устарели. Таким образом, относительно современные на текущий момент серверы HP 7-го поколения, которые имеют 3-ю версию iLO, уже невозможно открыть ни в одном браузере актуальной версии. Благодаря нашему решению стал доступен веб-интерфейс и iLO2 и iLO3. Кроме того, для iLO2 мы реализовали возможность подключения ISO-образов и Java веб-консоль.