ILO est-il suffisamment sûr pour être suspendu sur le WAN


14

Je me demande si iLO est suffisamment sûr pour être accroché au WAN, j'ai cherché des articles mais je n'en ai pas trouvé?

Comment sécurisez-vous iLO? Le mettez-vous derrière un pare-feu?

Souhaitez-vous utiliser un pare-feu accessible à partir du WAN à l'aide d'iLO?


2
iLO est un peu de jargon. Par «iLO», faites-vous référence au produit HP Lights-Out intégré?
Stefan Lasiewski

oui Lights-out intégré :)
Lucas Kauffman

... qui pourrait également être SUN / Oracle. Sur Dell, il s'appelle RAC (carte d'accès à distance) sur HP Itanium, c'est MP (processeur de gestion) - il y a beaucoup plus de titres pour ces backend-devices ...
Nils

Réponses:


15

Si votre WAN est un réseau interne, il est fort probable que vous souhaitiez pouvoir y accéder via le WAN.

Si, par WAN, vous entendez un accès public (c'est-à-dire Internet), c'est un risque de sécurité que vous devrez évaluer par vous-même. Personnellement, je ne ferais rien de tel car iLO expose le contrôle total de votre machine. VPN dans votre réseau si vous souhaitez y accéder.


5
+1 Vous ne laisseriez pas la console du serveur physique dans une zone accessible au public, n'est-ce pas?
EEAA

2
+1 Nous avons iLO derrière un pare-feu, SSH dedans et le port en avant à partir de là.
Chris S

2
@Chris S C'est exactement ce que nous faisons, je ne peux pas recommander suffisamment l'utilisation d'une passerelle SSH. Beaucoup plus agréable / plus facile que de devoir attacher un VPN à part entière.
EEAA

12

Bien que iLO (je suis un gars HP) soit presque partout dans la session SSL / SSH, c'est vraiment l'accès au cœur de votre plate-forme, donc je vais dire que vous devriez vraiment VPN dans ce niveau réseau pour ajouter une protection supplémentaire supplémentaire .


4
Une partie de cela aussi est la découverte . Si un pirate trouve un serveur VPN, il sait qu'il pourra accéder à quelque chose sur votre réseau à travers lui. S'ils trouvent une page de connexion iLO, ils savent exactement ce qu'ils ont trouvé.
Chris S

9

iLO, DRAC, IPMI ou tout autre type de contrôle hors bande ne doit être accessible qu'en interne. La bonne façon d'accéder à ces services via Internet est via un VPN sécurisé. Et PPTP détroit n'est * pas un VPN sécurisé (exception EAP-TLS), juste au cas où quelqu'un le considérerait.

* désolé, faute de frappe. N'a pas révisé avant de poster! Si quelqu'un s'en soucie, je recommande toujours L2TP / EAP-TLS

ou le vénérable L2PT / IPsec

et Chris S. a raison, PPTP / EAP-TLS est meilleur qu'IPsec seul. TLS est préféré à IPsec en général.

et honnêtement, si le système a déjà SSH disponible sur le net. J'utiliserais simplement SSH pour transférer les ports et ne pas gérer l'irritation du VPN.


1
PPTP est sécurisé? Le plus souvent, c'est horriblement précaire. Restez avec IPSec ou OpenVPN. Comme FTP, PPTP est un ancien logiciel qui a désespérément besoin de mourir, mais refuse de le faire.
EEAA

3
PPTP peut être très sécurisé; mais comme de nombreuses technologies, il peut également être configuré de manière non sécurisée.
Chris S

4

Nous mettons ces appareils dans un réseau séparé appelé admin-network. Il est accessible uniquement via les postes de travail d'administration connectés à ce réseau. Donc, dans votre cas, le VPN est la chose à faire.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.