Безпечний доступ до IPMI

Проблема

Як прикро буває в самий непідходящий момент виявити, що IPMI недоступний. А останнім часом це трапляється досить часто, особливо на старіших серверах. Все в тому, що в інтернеті постійно відбуваються автоматизовані brute force атаки. IPMI виконується на окремому чіпі, потужності якого достатньо для забезпечення працездатності веб-інтерфейсу, але його легко вивести з ладу шляхом підбору пароля по SSH або великою кількістю підключень.

Рішення

Тепер IPMI всіх серверів доступний тільки всередині нашої мережі, де значно безпечніше, ніж в інтернеті. Ми розробили спеціальний додаток, який працює як шлюз. Таким чином, IPMI доступний по протоколах SSH та RMCP тільки всередині мережі, а веб-інтерфейс доступний в інтернет через шлюз на нестандартному порту. Доступ здійснюється по доменному імені через безпечне HTTPS-підключення з сучасним SSL-сертифікатом навіть для тих серверів, де IPMI доступний тільки по HTTP. Крім веб-інтерфейсу шлюз також обслуговує консоль (iKVM) та Virtual Media.

Сучасні вимоги безпеки

У зв'язку з виявленням уразливостей, а також зростанням продуктивності, деякі протоколи шифрування досить швидко застаріли. Таким чином, відносно сучасні на поточний момент сервери HP 7-го покоління, які мають 3-ю версію iLO, вже неможливо відкрити в жодному браузері актуальної версії. Завдяки нашому рішенню став доступним веб-інтерфейс і iLO2 і iLO3. Крім того, для iLO2 ми реалізували можливість підключення ISO-образів та Java веб-консоль.