保护 DRAC/ILO

Question

可能的重复：
iLO 是否足够安全以挂在 WAN 上

这可能是一个愚蠢的问题，但 DRAC/ILO 都有 HTTP 服务器接口。

如果我在打开 IP 的端口 80 并且遇到这样一个页面，我会知道它是一个高价值目标，因为如果我能破解它，我可以在某种程度上控制服务器（可能安装另一个操作系统）。

除了更改端口之外，在面向 Internet 的公共机器上保护 DRAC/ILO 的最佳做法是什么？

Answer 1

他们都接受上传您自己的 SSL 证书，所以这是我要做的第一件事。如果您拥有足够多的这些服务器，那么您很有可能拥有自己的证书服务器，并将其证书安装为受信任的发布者。

请注意，所做的只是确保您连接的 ILO/iDrac 是您的，并且您不会被重定向到蜜罐。

我们为保护他们所做的另一件事是不让他们面对公共互联网。我们所有的 iDrac 都在一个单独的 vlan 上，只有在连接到 VPN 后才能访问。这意味着几件事：

1. VPN 出现故障，您最好有另一种方法来访问设备
2. 你没有在 drac 上“浪费”一个公共 IP 地址
3. 不在 VPN 上的任何人都无法访问该设备

也就是说，我们确实有一位客户将他们的 iDrac 置于公共 IP 上。如果你要走这条路：

1. 如果可以，请在 iDrac/ILO 前面的防火墙上限制 IP 地址。有时如果你不知道你要去哪里，这很难做到，但如果你知道自己永远不会去中国，那么这是一个很好的起点。将属于您要访问它的国家/地区的 IP 列入白名单可以阻止大量恶意流量。
2. 更改默认密码，看在上帝的份上。使用类似KeePass或类似的东西并生成一个 64 个字符的密码。如果您想更多地了解为什么这很重要，请查看此博客文章。它实际上是关于散列的，但重点是一样的。如果您只考虑一件事，那就是如果设备中存在漏洞并且他们设法获取用户数据库的副本，则可以在 4 小时内破解 8 个字符的基本密码，甚至无需尝试。

Answer 2

你不把它们放在互联网上。使用VPN。