Apakah iLO cukup aman untuk digantung di WAN

14

Saya bertanya-tanya apakah iLO cukup aman untuk digantung di WAN, saya mencari beberapa artikel tetapi tidak dapat menemukannya?

Bagaimana cara Anda mengamankan iLO? Apakah Anda meletakkannya di belakang firewall?

Apakah Anda menggunakan firewall yang dapat diakses dari WAN menggunakan iLO?

security ilo Lucas Kauffman
sumber
2
iLO adalah sedikit jargony. Dengan 'iLO', apakah Anda merujuk ke produk Integrated Lights-Out HP?
Stefan Lasiewski
yes Integrated Lights-out :)
Lucas Kauffman
... yang mungkin SUN / Oracle juga. Di Dell itu disebut RAC (kartu akses jarak jauh) pada HP Itanium itu adalah MP (prosesor manajemen) - ada banyak lagi judul untuk perangkat-perangkat backend ini ...
Nils

Jawaban:

15

Jika WAN Anda adalah jaringan internal maka kemungkinan besar Anda ingin dapat mengaksesnya melalui WAN.

Jika dengan WAN yang Anda maksud adalah menghadap publik (yaitu- Internet) maka itu adalah risiko keamanan yang harus Anda evaluasi sendiri. Saya pribadi tidak akan melakukan hal semacam itu karena iLO memperlihatkan kendali penuh atas mesin Anda. VPN ke jaringan Anda jika Anda ingin akses.

squillman
sumber
5
+1 Anda tidak akan meninggalkan konsol server fisik di area yang dapat diakses publik, bukan?
EEAA
2
+1 Kami punya iLO di belakang firewall, SSH ke dalamnya dan port forward dari sana.
Chris S
2
@ Chris S Itulah yang kami lakukan, tidak bisa merekomendasikan penggunaan gateway SSH. Jauh lebih baik / lebih mudah daripada harus mengikat VPN penuh.
EEAA
12

Meskipun iLO (saya seorang HP guy) hampir di seluruh sesi SSL / SSH itu benar-benar adalah akses ke jantung platform Anda, jadi saya akan mengatakan bahwa Anda benar-benar harus VPN ke tier jaringan itu untuk menambahkan banyak perlindungan tambahan .

Chopper3
sumber
4
Bagian dari itu juga adalah penemuan . Jika seorang hacker menemukan server VPN, mereka tahu mereka akan dapat masuk ke sesuatu di jaringan Anda melalui itu. Jika mereka menemukan halaman login iLO mereka tahu persis apa yang mereka temukan.
Chris S
9

iLO, DRAC, IPMI, atau semua jenis kontrol Out of Band, seharusnya hanya dapat diakses secara internal. Cara yang benar untuk mengakses layanan tersebut melalui internet adalah melalui VPN yang aman. Dan PPTP selat * bukan VPN yang aman (kecuali EAP-TLS), kalau-kalau ada orang yang mempertimbangkannya.

* maaf, salah ketik. Tidak mengulas sebelum memposting! Jika ada yang peduli, saya selalu merekomendasikan L2TP / EAP-TLS

atau L2PT / IPsec yang terhormat

dan Chris S. benar, PPTP / EAP-TLS lebih baik daripada IPsec saja. TLS lebih disukai daripada IPsec secara umum.

dan sejujurnya, jika sistem sudah memiliki SSH yang tersedia melalui internet. Saya hanya akan menggunakan SSH untuk meneruskan port dan tidak berurusan dengan iritasi VPN.

JM Becker
sumber
1
PPTP aman? Lebih sering daripada tidak, itu sangat tidak aman. Tetap dengan IPSec atau OpenVPN. Seperti FTP, PPTP adalah perangkat lunak lama yang sangat perlu mati, tetapi menolak untuk melakukannya.
EEAA
3
PPTP bisa sangat aman; tetapi seperti banyak teknologi lainnya, pengaturannya juga tidak aman.
Chris S
4

Kami menempatkan perangkat ini ke jaringan terpisah yang disebut admin-jaringan. Ini hanya dapat diakses melalui admin-workstation yang terhubung ke jaringan itu. Jadi dalam kasus Anda - VPN adalah hal yang harus dilakukan.

Nils
sumber