文章的标题虽然是相关IPMI安全隐患,但是啥是IPMI?
智能平台管理接口 (IPMI) 是一种开放标准的硬件管理接口规格,定义了嵌入式管理子系统进行通信的特定方法。IPMI 信息通过基板管理控制器(位于 IPMI 规格的硬件组件上)进行交流。
IPMI是一项应用于服务器管理系统设计的标准,由Intel、HP、Dell和NEC公司于1998年共同提出,当前最新版本为2.0。利用此接口标准设计有助于在不同类服务器系统硬件上实施系统管理,IPMI是一个被大多数服务器厂商支持的协议,配合基板管理控制器,可以实现很多有用的功能。比如远程电源状态控制和端口重定向。利用这个特性,你可以远程控制机房的服务器电源状态(比如你机器之前的状态是关机,但是只要电源还插着,就可以远程打开电源)和安装操作系统,配置 BIOS 等等。
上面已经介绍了IPMI是什么,以及它能做什么;那我们如何管理服务器的IPMI呢? 要实现对服务器的ipmi管理,必须在硬件、OS、管理工具等几个方面都满足。
(1)服务器硬件本身提供对ipmi的支持。
(2)目前IBM、HP、Dell和NEC等大多数厂商的服务器都支持IPMI,但并不是所有服务器都支持,所以应该先通过产品手册或在BIOS中确定服务器是否支持ipmi,也就是说服务器在主板上要具有BMC等嵌入式的管理微控制器。
(3)操作系统提供相应的ipmi驱动。通过操作系统监控服务器自身的ipmi信息时需要系统内核提供相应的支持,linux系统通过内核对OpenIPMI(ipmi驱动)的支持来提供对ipmi的系统接口。
如果以上三点都满足,那就说明可以用IPMI来管理服务器了,管理windows机器我们有RDP协议的远程桌面连接(Mstsc)以及Telnet管理;管理Linux的机器我们有SSH和 Telnet管理,那管理IPMI的服务器呢?
IPMI可以通过本地和远程两种方式来获取被监控服务器的监测信息,两种方式都需要相关的硬件,但是软件的安装和软件命令使用稍微有所不同。常用的管理工具是ipmitool, Linux下需要先安装OpenIPMI驱动并启动它,SourceForge上的ipmitool只支持Linux/Unix系列的OS,不过它有很多针对Windows的移植版本,比如Sun公司的一个版本,可下载支持Windows平台的ipmitool。后来超微出了一个工具叫做IPMI View,可以windows或者linux使用,可以统一管理和查看IPMI的信息,用起来比较方便。注意驱动必须安装在服务器的OS中,管理工具可以安装服务器上(本地管理),或者远程的客户端上(远程管理)。
IPMI可能存在的安全隐患以及防范措施:
IPMI既然是可以用于运维人员对服务器进行管理,那如果一个想入侵某服务器的黑客得 到IPMI的访问控制权限那会如何?IPMI在关机的时候都是可以ping通的,可以说只要黑客有了IPMI访问控制权,除非你拔掉网线才能组织黑客对IPMI服务器的控制,所以说不管什么控制系统一定要加强密码策略,防止用户名密码泄漏,这是最基本的防范措施。
基本的密码策略防范措施以及说过了,我们回头看看过去IPMI出现过什么问题:
1. Supermicro IPMI Web接口多个安全绕过漏洞
2. 超微(SuperMicro)服务器IPMI的越权漏洞
3. Apple Xserve Lights-Out系统含IPMI权限提升漏洞
…
关于IPMI相关漏洞看看看IPMI的历史上真的很少,一般都是厂家自己的问题;比如刚才我们提到的那两个都是属于supermicro(超微)的问题,第一个漏洞详情大致是:
Supermicro IPMI存在两个管理账户
用于WEB接口访问:
"ADMIN"
"Anonymous"
官方文件仅告诉用户更改"ADMIN"账户密码,但可通过SSH指定空用户名,默认密码使用小写的"admin"可绕过限制登录系统。
第二个更离谱,其实就是supermicro(超微)自己管理IPMI的WEB接口的问题,低权限的用户在对服务器进行操作的时候,WEB接口会提示无权限,但是如果通过禁用javascript等方法组织错误消息弹出,即可做到越权。
第三个也是厂家的问题,Xserve是苹果推出的高性能服务器,Xserve内嵌的Lights-Out管理固件实现IPMI时存在错误,可能允许远程攻击者在以特殊方式配置了IPMI的服务器上获得管理权限。 过去关于IPMI的漏洞数量比较少,可能很多黑客并没有把眼光放在IPMI上,但是并不能说IPMI是绝对安全的东西。 对IPMI服务器最好的防范措施当然就是密码策略,防止密码泄漏,因为再安全的系统如果泄漏了密码,那系统再稳定也无用。 Google了一些关于IPMI安全资料,其中一些Engineer说可以物理隔离有IPMI的服务器,此方法也是一个不错的方法,即使黑客拿到了IPMI服务器的帐号密码,也要想办法让他们无法登陆。 最后就是如果厂家出了漏洞,那就多留意厂家是否会出相关的漏洞补丁,在最短的时间内解决。 关于IPMI可能出现的的安全隐患以及防范措施暂时就有这些了,关于IPMI的密码传输看官方吹的还是很靠谱的,所以应该不会出现被嗅探等问题。
UPDATE:
之前闹的沸沸扬扬的SCADA工控被入侵,其实SCADA基本都支持IPMI2.0,就我个人觉得如果做了隔离然后VPN拨入,你能奈我若何?