Fehlende oder falsche Sicherheitseinstellungen

Schwachstellen der IPMI-Schnittstelle

Seite: 2/2

Vorteile der jeweiligen BMC-Szenarien

Die Vorteile von logischen Verbindungen: Es müssen weniger Kabel verlegt werden, was sich positiv auf die Kosten auswirkt. Das logische Management von Netzwerken ist ebenfalls einfacher und ermöglicht einen einfacheren Zugang für Nutzer und Administratoren als bei einem physischen Netzwerk-Management.

Logische Verbindungen und logisches Management bieten allerdings weniger Sicherheit und nur bedingte Auditfähigkeit. Insbesondere erfordert diese Form der Einbindung von BMCs korrekt verwaltete Zugriffsrechte, was aber einen sehr hohen administrativen Aufwand verursacht. Deshalb ist es empfehlenswert, dass der Service-Prozessor eine eigene Netzwerkverbindung hat, also physikalisch verbunden ist.

Diese Netzwerkverbindung sollte jedoch nicht an das Produktionsnetzwerk angeschlossen sein, sondern an ein physisch separates Management-Netzwerk. Nur wenn BMCs physisch verbunden und physisch gemanagt werden, ist gewährleistet, dass niemand vom Produktionsnetzwerk im Rechenzentrum darauf zugreifen kann. Diese Möglichkeit (oben 3.) bietet die höchste Sicherheit.

Netzwerkzugriff auf Service-Prozessoren schützen

Um die BMCs von anderen Netzwerken zu isolieren und zu schützen, implementieren viele Netzwerkadministratoren private Netzwerke, die dem Zugriff beliebiger Mitarbeiter entzogen sind. Bei der Konfiguration mittels IP-Subnetz sind die BMCs nicht von außen sichtbar.

Service-Prozessoren können so durch Schad-Software, die versucht, IP-Adressen auszuspähen, nicht entdeckt und somit nicht als potenzielle Sicherheitslücke entdeckt werden. Ältere Systeme nutzten dabei für den Zugriff auf die Service-Prozessoren von außen ein dual-homed System, die sogenannte „jump-box“. Heutzutage werden statt einer jump-box häufig VPN-Verbindungen (Virtual Private Network) sowie Firewalls eingesetzt.

Fazit

Es ist wichtig, dass Unternehmen sich bewusst werden, dass BMCs bei unzureichenden Sicherheitsvorkehrungen ein enormes Risiko darstellen. Die oben beschriebenen Sicherheitslücken können mit dem Einsatz entsprechender Tools und den richtigen Konfigurationen geschlossen werden.

Wolfgang Goretzki
Wolfgang Goretzki
(Bild: Emerson Network Power)
* Wolfgang Goretzki ist Product Marketing Manager EMEA bei Emerson Network Power.

*

(ID:43032941)