Защищаем Intel BMC – или костыль по русски!

Не редко приходится сталкиваться с такой практикой, как открытый в интернет менеджмент порт сервера. Если у всяких-там гипервизоров есть какой-никакой фаервол, то с менеджментом на материнках все намного более печально…. Его часто просто нет… sad Как пример у моего Intel BMC есть только блокировка по номерам портов, а заблокировать вход со всех IP кроме определенных – нельзя.

 

Типично, вся защита сводится к двум методам:

  1. Установка рандомного длиннющего пароля. gamer
  2. Закрытие менеджмент порта в влане или отдельной менеджмент сети. dash2

Но в случае с колокейшеном сервера в ДЦ, метод 2 – недоступен или очень дорог. Если длинным рандомным паролем мы защищаемся от брутфорса, то от DDOS’а или юзания уязвимости в данном случае не защитится.

В данном случае нам поможет IPv6 протокол. diablo Обычно нормальные хостеры выдают /64 подсети бесплатно. Вспомним, что одна /64 подсеть, это 18.4 хуйлиардов адресов, а именно 18446744073709551616 адреса! rtfm Даже если каким-то образом злоумышленник узнал ваш /64 префикс, то ему для перебора всех адресов вашей подсети и нахождения в этой подсети вашего сервера понадобится до 584942 лет, при скорости сканирования 1 000 000 адресов в секунду. Короче если для сервера вы выдали рандомный адрес вида 2A02:2698:7C12:60B5:14AA:ABA0:A981:1274, сначала надо будет найти этот адрес, а потом уже, если злоумышленник будет еще жив, попытаться применить эксплоит crazy

И так, сходим на рандом.орг, где нам выдадут упаковку рандомных чисел, любую часть из которых переведем в 16-ти причное число, и допишем наш IPv6 полностью, чтобы избавится от сокращения “::”, и конфигим наш БМЦ. После чего IPv4 отключаем.

Не обольщайтесь, на скриншоте адрес фиктивный, и дан просто для наглядности.

Получаем два очевидных плюса:

  1. Не тратим дорогущие IPv4 адреса.
  2. Наш сервер теперь куда сложнее найти сканированием сети.

Есть у такого подхода и минусы, их два:

  1. Нужен IPv6 во всех местах откуда планируется админить сервер. Благо сейчас провайдеры начинают его активно внедрять.
  2. Перестают работать E-Mail оповещения от BMC поскольку для них мой BMC юзает IPv4 only.

Касательно провайдеров последний мили, у меня все поддерживают IPv6, это МТС на мобилке и Дом.ру дома.

Добавить комментарий