IPMI可能存在的安全隱患及防范措施
文章的標題雖然是相關IPMI安全隱患,但是啥是IPMI?
智能平臺管理接口 (IPMI) 是一種開放標準的硬件管理接口規格,定義了嵌入式管理子系統進行通信的特定方法。IPMI 信息通過基板管理控制器(位于 IPMI 規格的硬件組件上)進行交流。
IPMI是一項應用于服務器管理系統設計的標準,由Intel、HP、Dell和NEC公司于1998年共同提出,當前最新版本為2.0。利用此接口標準設計有助于在不同類服務器系統硬件上實施系統管理,IPMI是一個被大多數服務器廠商支持的協議,配合基板管理控制器,可以實現很多有用的功能。比如遠程電源狀態控制和端口重定向。利用這個特性,你可以遠程控制機房的服務器電源狀態(比如你機器之前的狀態是關機,但是只要電源還插著,就可以遠程打開電源)和安裝操作系統,配置 BIOS 等等。
上面已經介紹了IPMI是什么,以及它能做什么;那我們如何管理服務器的IPMI呢? 要實現對服務器的ipmi管理,必須在硬件、OS、管理工具等幾個方面都滿足。
(1)服務器硬件本身提供對ipmi的支持。
(2)目前IBM、HP、Dell和NEC等大多數廠商的服務器都支持IPMI,但并不是所有服務器都支持,所以應該先通過產品手冊或在BIOS中確定服務器是否支持ipmi,也就是說服務器在主板上要具有BMC等嵌入式的管理微控制器。
(3)操作系統提供相應的ipmi驅動。通過操作系統監控服務器自身的ipmi信息時需要系統內核提供相應的支持,linux系統通過內核對OpenIPMI(ipmi驅動)的支持來提供對ipmi的系統接口。
如果以上三點都滿足,那就說明可以用IPMI來管理服務器了,管理windows機器我們有RDP協議的遠程桌面連接(Mstsc)以及Telnet管理;管理Linux的機器我們有SSH和 Telnet管理,那管理IPMI的服務器呢?
IPMI可以通過本地和遠程兩種方式來獲取被監控服務器的監測信息,兩種方式都需要相關的硬件,但是軟件的安裝和軟件命令使用稍微有所不同。常用的管理工具是ipmitool, Linux下需要先安裝OpenIPMI驅動并啟動它,SourceForge上的ipmitool只支持Linux/Unix系列的OS,不過它有很多針對Windows的移植版本,比如Sun公司的一個版本,可下載支持Windows平臺的ipmitool。后來超微出了一個工具叫做IPMI View,可以windows或者linux使用,可以統一管理和查看IPMI的信息,用起來比較方便。注意驅動必須安裝在服務器的OS中,管理工具可以安裝服務器上(本地管理),或者遠程的客戶端上(遠程管理)。
IPMI可能存在的安全隱患以及防范措施:
IPMI既然是可以用于運維人員對服務器進行管理,那如果一個想入侵某服務器的黑客得 到IPMI的訪問控制權限那會如何?IPMI在關機的時候都是可以ping通的,可以說只要黑客有了IPMI訪問控制權,除非你拔掉網線才能組織黑客對IPMI服務器的控制,所以說不管什么控制系統一定要加強密碼策略,防止用戶名密碼泄漏,這是最基本的防范措施。
基本的密碼策略防范措施以及說過了,我們回頭看看過去IPMI出現過什么問題:
1. Supermicro IPMI Web接口多個安全繞過漏洞
2. 超微(SuperMicro)服務器IPMI的越權漏洞
3. Apple Xserve Lights-Out系統含IPMI權限提升漏洞
…
關于IPMI相關漏洞看看看IPMI的歷史上真的很少,一般都是廠家自己的問題;比如剛才我們提到的那兩個都是屬于supermicro(超微)的問題,第一個漏洞詳情大致是:
Supermicro IPMI存在兩個管理賬戶
用于WEB接口訪問:
"ADMIN"
"Anonymous"
官方文件僅告訴用戶更改"ADMIN"賬戶密碼,但可通過SSH指定空用戶名,默認密碼使用小寫的"admin"可繞過限制登錄系統。
第二個更離譜,其實就是supermicro(超微)自己管理IPMI的WEB接口的問題,低權限的用戶在對服務器進行操作的時候,WEB接口會提示無權限,但是如果通過禁用javascript等方法組織錯誤消息彈出,即可做到越權。
第三個也是廠家的問題,Xserve是蘋果推出的高性能服務器,Xserve內嵌的Lights-Out管理固件實現IPMI時存在錯誤,可能允許遠程攻擊者在以特殊方式配置了IPMI的服務器上獲得管理權限。 過去關于IPMI的漏洞數量比較少,可能很多黑客并沒有把眼光放在IPMI上,但是并不能說IPMI是絕對安全的東西。 對IPMI服務器最好的防范措施當然就是密碼策略,防止密碼泄漏,因為再安全的系統如果泄漏了密碼,那系統再穩定也無用。 Google了一些關于IPMI安全資料,其中一些Engineer說可以物理隔離有IPMI的服務器,此方法也是一個不錯的方法,即使黑客拿到了IPMI服務器的帳號密碼,也要想辦法讓他們無法登陸。 最后就是如果廠家出了漏洞,那就多留意廠家是否會出相關的漏洞補丁,在最短的時間內解決。 關于IPMI可能出現的的安全隱患以及防范措施暫時就有這些了,關于IPMI的密碼傳輸看官方吹的還是很靠譜的,所以應該不會出現被嗅探等問題。
UPDATE:
之前鬧的沸沸揚揚的SCADA工控被入侵,其實SCADA基本都支持IPMI2.0,就我個人覺得如果做了隔離然后VPN撥入,你能奈我若何?
