移动安全安全管理 应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 安全管理 >

IPMI可能存在的安全隐患及防范措施

时间:2013-03-11 15:10来源: 点击:
IPMI可能存在的安全隐患及防范措施
Tags安全隐患(96)IPMI(2)防范措施(2)安(53)  

  智能平台管理接口(IPMI) 是一种开放标准的硬件管理接口规格,定义了嵌入式管理子系统进行的特定方法。IPMI 信息通过基板管理控制器(位于 IPMI 规格的硬件组件上)进行交流。

  IPMI是一项应用于管理系统设计的标准,由、、Dell和NEC公司于1998年共同提出,当前最新版本为2.0.利用此接口标准设计有助于在不同类硬件上实施系统管理,IPMI是一个被大多数服务器厂商支持的协议,配合基板管理控制器,可以实现很多有用的功能。比如远程电源状态控制和端口重定向。利用这个特性,你可以远程控制的服务器电源状态(比如你机器之前的状态是关机,但是只要电源还插着,就可以远程打开电源)和安装,配置 BIOS 等等。

  上面已经介绍了IPMI是什么,以及它能做什么;那我们如何管理服务器的IPMI呢? 要实现对服务器的ipmi管理,必须在硬件、、管理工具等几个方面都满足。

  (1)服务器硬件本身提供对ipmi的支持。

  (2)目前、HP、Dell和NEC等大多数厂商的服务器都支持IPMI,但并不是所有服务器都支持,所以应该先通过产品手册或在BIOS中确定服务器是否支持ipmi,也就是说上要具有BMC等嵌入式的管理微控制器。

  (3)操作系统提供相应的ipmi驱动。通过操作系统监控服务器自身的ipmi信息时需要系统内核提供相应的支持,系统通过内核对OpenIPMI(ipmi驱动)的支持来提供对ipmi的系统接口。

  如果以上三点都满足,那就说明可以用IPMI来管理服务器了,管理windows机器我们有RDP协议的远程桌面连接(Mstsc)以及Telnet管理;管理Linux的机器我们有和 Telnet管理,那管理IPMI的服务器呢?

  IPMI可以通过本地和远程两种方式来获取被监控服务器的监测信息,两种方式都需要相关的硬件,但是软件的安装和软件命令使用稍微有所不同。常用的管理工具是ipmitool, Linux下需要先安装OpenIPMI驱动并启动它,SourceForge上的ipmitool只支持Linux/系列的OS,不过它有很多针对Windows的移植版本,比如公司的一个版本,可下载支持Windows平台的ipmitool.后来超微出了一个工具叫做IPMI View,可以windows或者linux使用,可以统一管理和查看IPMI的信息,用起来比较方便。注意驱动必须安装在服务器的OS中,管理工具可以安装服务器上(本地管理),或者远程的客户端上(远程管理)。

  IPMI可能存在的安全隐患以及防范措施:

  IPMI既然是可以用于运维人员对服务器进行管理,那如果一个想某服务器的黑客得到IPMI的访问控制权限那会如何?IPMI在关机的时候都是可以ping通的,可以说只要黑客有了IPMI访问控制权,除非你拔掉网线才能组织黑客对IPMI服务器的控制,所以说不管什么控制系统一定要加强密码策略,防止用户名密码泄漏,这是最基本的防范措施。

  基本的密码策略防范措施以及说过了,我们回头过去IPMI出现过什么问题:

  1. Supermicro IPMI Web接口多个安全绕过漏洞

  2. 超微(SuperMicro)服务器IPMI的越权漏洞

  3. Apple Xserve Lights-Out系统含IPMI权限提升漏洞

  …

  关于IPMI相关漏洞看看看IPMI的历史上真的很少,一般都是厂家自己的问题;比如刚才我们提到的那两个都是属于supermicro(超微)的问题,第一个漏洞详情大致是:

  Supermicro IPMI存在两个管理账户

  用于WEB接口访问:

  "ADMIN"

  "Anonymous"

  官方文件仅告诉用户更改"ADMIN"账户密码,但可通过SSH指定空用户名,默认密码使用小写的"admin"可绕过限制登录系统。

  第二个更离谱,其实就是supermicro(超微)自己管理IPMI的WEB接口的问题,低权限的用户在对服务器进行操作的时候,WEB接口会提示无权限,但是如果通过禁用javascript等方法组织错误消息弹出,即可做到越权。

  第三个也是厂家的问题,Xserve是推出的高性能服务器,Xserve内嵌的Lights-Out管理固件实现IPMI时存在错误,可能允许远程攻击者在以特殊方式配置了IPMI的服务器上获得管理权限。 过去关于IPMI的漏洞数量比较少,可能很多黑客并没有把眼光放在IPMI上,但是并不能说IPMI是绝对安全的东西。 对IPMI服务器最好的防范措施当然就是密码策略,防止密码泄漏,因为再安全的系统如果泄漏了密码,那系统再稳定也无用。了一些关于IPMI安全资料,其中一些Engineer说可以物理隔离有IPMI的服务器,此方法也是一个不错的方法,即使黑客拿到了IPMI服务器的帐号密码,也要想办法让他们无法登陆。 最后就是如果厂家出了漏洞,那就多留意厂家是否会出相关的漏洞补丁,在最短的时间内解决。关于IPMI可能出现的的安全隐患以及防范措施暂时就有这些了,关于IPMI的密码传输看官方吹的还是很靠谱的,所以应该不会出现被嗅探等问题。

  UPDATE:

  之前闹的沸沸扬扬的SCADA工控被入侵,其实SCADA基本都支持IPMI2.0,就我个人觉得如果做了隔离然后拨入,你能奈我若何?

------分隔线----------------------------

推荐内容