Zum Inhalt wechseln


Foto

IPMI 2.0: Abschalten!


  • Bitte melde dich an um zu Antworten
2 Antworten in diesem Thema

#1 zahni

zahni

    Expert Member

  • 16.475 Beiträge

 

Geschrieben 02. November 2016 - 15:09

Hi,

 

auch wenn das Thema nicht neu ist:

 

Falls hier jemand Server verwendet, die das Protokoll IPMI 2.0 benutzen und Ihr keine konkrete Verwendung dafür habt, solltet Ihr es abschalten.

Im Falle  vom HP ILO ist das kein Problem. Der Rest vom ILO-funktioniert weiter. Die User admin/Administrator solltet Ihr  umbenennen und deren Password ändern (unbedingt langes und komplexes Password wählen).

Falls Blades mit HPE's OBA im Einsatz sind, können die Default-User auch  gelöscht werden. Der OBA generiert zur Anmeldung auf dem ILO immer temporäre User auf dem ILO.

 

Für HP ILO hier eine kurze Anleitung und  weitere Details:

 

https://kb.leaseweb..../Disabling IPMI

http://h20564.www2.h..._na-c04197764-1

 

HPE liefert die Server leider mit aktiviertem IPMI aus.

 

Mögliche Angriffsszenario nach Erlangen des Passwords ist z.B.: Booten des Servers mit einem remote über ILO gemounteten Image. Da kann man dann recht viel machen.


Bearbeitet von zahni, 02. November 2016 - 15:25.

Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#2 magheinz

magheinz

    Newbie

  • 1.377 Beiträge

 

Geschrieben 02. November 2016 - 15:42

Ich verstehe das Problem gerade nicht. Das man mit einem Servermanagementprotokoll Server managen kann liegt irgendwie nahe.
Das man das absichern sollte(eigenes LAan/VLAN, vernünftige Passwörter etc) sollte auch klar sein.
Was ist die Alternative zu IPMI? Einen KVM over IP dran hängen? Das ändert aber am Grundproblem nix.

#3 zahni

zahni

    Expert Member

  • 16.475 Beiträge

 

Geschrieben 02. November 2016 - 16:00

ILO hat IPMI nur zusätzlich. ILO funktioniert auch ohne IPMI.

Das Problem ist, dass  IPMI bei einer bestimmten Anfrage und wenn der Username bekannt ist, den Password-Hash des Users ausplaudert.

Und dieser Hash ist trotz des "Salzes" nicht so sicher. Wenn man IPMI unbedingt braucht, einen neuen User anlegen, dessen Namen man nicht erraten kann.

PS: Ich habe eine Live-Demo gesehen.

 

Hier kann man weiterlesen:

 

http://fish2.com/ipm...w-cracking.html


  • magheinz gefällt das

Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!