Как пример у моего Intel BMC есть только блокировка по номерам портов, а заблокировать вход со всех IP кроме определенных – нельзя.
Типично, вся защита сводится к двум методам:
- Установка рандомного длиннющего пароля.
- Закрытие менеджмент порта в влане или отдельной менеджмент сети.
Но в случае с колокейшеном сервера в ДЦ, метод 2 – недоступен или очень дорог. Если длинным рандомным паролем мы защищаемся от брутфорса, то от DDOS’а или юзания уязвимости в данном случае не защитится.
В данном случае нам поможет IPv6 протокол. 
Обычно нормальные хостеры выдают /64 подсети бесплатно. Вспомним, что одна /64 подсеть, это 18.4 хуйлиардов адресов, а именно 18446744073709551616 адреса! 
Даже если каким-то образом злоумышленник узнал ваш /64 префикс, то ему для перебора всех адресов вашей подсети и нахождения в этой подсети вашего сервера понадобится до 584942 лет, при скорости сканирования 1 000 000 адресов в секунду. Короче если для сервера вы выдали рандомный адрес вида 2A02:2698:7C12:60B5:14AA:ABA0:A981:1274, сначала надо будет найти этот адрес, а потом уже, если злоумышленник будет еще жив, попытаться применить эксплоит 
И так, сходим на рандом.орг, где нам выдадут упаковку рандомных чисел, любую часть из которых переведем в 16-ти причное число, и допишем наш IPv6 полностью, чтобы избавится от сокращения “::”, и конфигим наш БМЦ. После чего IPv4 отключаем.
Не обольщайтесь, на скриншоте адрес фиктивный, и дан просто для наглядности.
Получаем два очевидных плюса:
- Не тратим дорогущие IPv4 адреса.
- Наш сервер теперь куда сложнее найти сканированием сети.
Есть у такого подхода и минусы, их два:
- Нужен IPv6 во всех местах откуда планируется админить сервер. Благо сейчас провайдеры начинают его активно внедрять.
- Перестают работать E-Mail оповещения от BMC поскольку для них мой BMC юзает IPv4 only.
Касательно провайдеров последний мили, у меня все поддерживают IPv6, это МТС на мобилке и Дом.ру дома.
Добавить комментарий
Для отправки комментария вам необходимо авторизоваться.