¿Es iLO lo suficientemente seguro como para colgarlo en la WAN?

14

Me pregunto si iLO es lo suficientemente seguro como para colgarlo en la WAN. ¿Busqué algunos artículos pero no pude encontrar ninguno?

¿Cómo protegen ustedes a iLO? ¿Lo pones detrás de un firewall?

¿Usaría un firewall al que se pueda acceder desde la WAN usando iLO?

security ilo Lucas Kauffman
fuente
2
iLO es una pequeña jerga. Por 'iLO', ¿se refiere al producto Integrated Lights-Out de HP?
Stefan Lasiewski
Sí Integrated Lights-out :)
Lucas Kauffman
... que también podría ser SUN / Oracle. En Dell se llama RAC (tarjeta de acceso remoto) en HP Itanium, es MP (procesador de administración): hay muchos más títulos para estos dispositivos de fondo ...
Nils

Respuestas:

15

Si su WAN es una red interna, es muy probable que quiera acceder a ella a través de la WAN.

Si por WAN te refieres al público (es decir, Internet), entonces ese es un riesgo de seguridad que tendrás que evaluar por ti mismo. Yo personalmente no haría nada por el estilo ya que iLO expone el control total de su máquina. VPN en su red si desea acceder.

squillman
fuente
55
+1 No dejaría la consola del servidor físico en un área de acceso público, ¿verdad?
EEAA
2
+1 Tenemos a iLO detrás de un cortafuegos, SSH en eso y puerto hacia adelante desde allí.
Chris S
2
@ Chris S Eso es exactamente lo que hacemos, no puedo recomendar el uso de una puerta de enlace SSH lo suficiente. Mucho mejor / más fácil que la necesidad de usar una VPN completa.
EEAA
12

Aunque iLO (soy un chico de HP) está casi en toda la sesión SSL / SSH, realmente es el acceso al corazón de su plataforma, así que voy a decir que realmente debería VPN en ese nivel de red para agregar tanta protección adicional .

Chopper3
fuente
44
Parte de esto también es el descubrimiento . Si un pirata informático encuentra un servidor VPN, sabe que podrá acceder a algo en su red a través de él. Si encuentran una página de inicio de sesión de iLO, saben exactamente lo que han encontrado.
Chris S
9

iLO, DRAC, IPMI o cualquier tipo de control fuera de banda, solo deberían estar accesibles internamente. La forma correcta de acceder a dichos servicios a través de Internet es a través de una VPN segura. Y estrecho PPTP * no es una VPN segura (excepción EAP-TLS), en caso de que alguien lo considere.

*disculpa error. No revisado antes de publicar! Si a alguien le importa, siempre recomiendo L2TP / EAP-TLS

o el venerable L2PT / IPsec

y Chris S. tiene razón, PPTP / EAP-TLS es mejor que solo IPsec. Se prefiere TLS sobre IPsec en general.

y sinceramente, si el sistema ya tiene SSH disponible en la red. Simplemente usaría SSH para reenviar los puertos y no lidiar con la irritación de VPN.

JM Becker
fuente
1
PPTP es seguro? Más a menudo que no, es horriblemente inseguro. Quédate con IPSec o OpenVPN. Al igual que FTP, PPTP es una vieja pieza de software que necesita morir desesperadamente, pero se niega a hacerlo.
EEAA
3
PPTP puede ser muy seguro; pero, como muchas tecnologías, también se puede configurar de forma insegura.
Chris S
4

Ponemos estos dispositivos en una red separada llamada admin-network. Solo es accesible a través de estaciones de trabajo administrativas conectadas a esa red. Entonces, en su caso, VPN es lo que hay que hacer.

Nils
fuente