仅基于HTTP的IPMI

Question

我实际上是在为一个客户执行安全审查，而且我对IPMI的情况很困惑。

如果我是正确的，该协议在设计上是有缺陷的，从而直接暴露了网络上的IPMI服务(udp/623)的密码哈希提取。

知道了这一点，仅仅允许IPMI (即通过由戴尔、SuperMicro等几个提供商提供的web )是一个很好的缓解吗？

最后，这有可能吗?！或者IPMI特定的端口应该始终监听吗？

谢谢你的回答。

Answer 1

简短的回答是肯定的，HTTPS是可能的，udp端口621也不一定是必需的。目前维基百科的页面在“当前安全状态”这里下这样说。

IPMI支持通过HTTPS使用SSL与证书进行安全通信。使用RADIUS服务器对SSL进行身份验证、授权和计费，可以很容易地克服默认短密码或“密码0”黑客的使用，这在数据中心或任何中、大型部署中都是典型的。用户的RADIUS服务器可以配置为使用FreeRADIUS/OpenLDAP或Microsoft Active和相关服务安全地将AAA存储在LDAP数据库中。..。因此，谨慎的最佳实践是禁用LDAP/RADIUS中操作符和管理员角色的使用，并且只有在LDAP/RADIUS管理员需要时才启用它们。例如，在RADIUS中，角色可以将其设置Auth-Type更改为: Auth-Type := Reject，这样做将阻止RAKP哈希攻击的成功，因为用户名将被RADIUS服务器拒绝。