IPMI 2.0: Abschalten!

zahni · 2. November 2016

Hi,

auch wenn das Thema nicht neu ist:

Falls hier jemand Server verwendet, die das Protokoll IPMI 2.0 benutzen und Ihr keine konkrete Verwendung dafür habt, solltet Ihr es abschalten.

Im Falle vom HP ILO ist das kein Problem. Der Rest vom ILO-funktioniert weiter. Die User admin/Administrator solltet Ihr umbenennen und deren Password ändern (unbedingt langes und komplexes Password wählen).

Falls Blades mit HPE's OBA im Einsatz sind, können die Default-User auch gelöscht werden. Der OBA generiert zur Anmeldung auf dem ILO immer temporäre User auf dem ILO.

Für HP ILO hier eine kurze Anleitung und weitere Details:

https://kb.leaseweb.com/display/KB/Disabling+IPMI

http://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c04197764-1

HPE liefert die Server leider mit aktiviertem IPMI aus.

Mögliche Angriffsszenario nach Erlangen des Passwords ist z.B.: Booten des Servers mit einem remote über ILO gemounteten Image. Da kann man dann recht viel machen.

bearbeitet 2. November 2016 von zahni

magheinz · 2. November 2016

Ich verstehe das Problem gerade nicht. Das man mit einem Servermanagementprotokoll Server managen kann liegt irgendwie nahe.

Das man das absichern sollte(eigenes LAan/VLAN, vernünftige Passwörter etc) sollte auch klar sein.

Was ist die Alternative zu IPMI? Einen KVM over IP dran hängen? Das ändert aber am Grundproblem nix.

zahni · 2. November 2016

ILO hat IPMI nur zusätzlich. ILO funktioniert auch ohne IPMI.

Das Problem ist, dass IPMI bei einer bestimmten Anfrage und wenn der Username bekannt ist, den Password-Hash des Users ausplaudert.

Und dieser Hash ist trotz des "Salzes" nicht so sicher. Wenn man IPMI unbedingt braucht, einen neuen User anlegen, dessen Namen man nicht erraten kann.

PS: Ich habe eine Live-Demo gesehen.

Hier kann man weiterlesen:

http://fish2.com/ipmi/remote-pw-cracking.html