Guía de seguridad de Oracle® ILOM, versiones de firmware 3.0, 3.1 y 3.2

Salir de la Vista de impresión

 
Actualización: Octubre de 2015
 
 

Uso de IPMI v2.0 para autenticación mejorada y cifrado de paquetes

Aunque Oracle ILOM admite IPMI v1.5 y v2.0 para la gestión remota, los administradores del sistema siempre deben utilizar la interfaz -I lanplus de IPMI v2.0 para gestionar los servidores de Oracle de manera segura. La interfaz -I lanplus brinda autenticación mejorada y controles de integración de datos a partir de la versión 2.0 de IPMI.

A partir de la versión de firmware 3.2.4, Oracle ILOM proporciona una propiedad configurable para activar o desactivar sesiones de IPMI v1.5. Para mayor seguridad, la propiedad de IPMI v1.5 está desactivada de forma predeterminada. Cuando la propiedad de IPMI v1.5 está desactivada, todas las conexiones de sesiones de IPMI v1.5 a Oracle ILOM se impiden (se bloquean).

Consulte el siguiente procedimiento para ver o modificar la propiedad de estado de servicio de IPMI, o la propiedad configurable de IPMI v1.5, que está disponible a partir de la versión de firmware 3.2.4.

Antes de empezar

  • Se necesita el rol Admin (Administrador) (a) para modificar las propiedades de IPMI en Oracle ILOM.

  • La propiedad de estado del servicio IPMI está activada de forma predeterminada. Antes del primer uso, se deben configurar las cuentas de usuario en Oracle ILOM con los privilegios basados en roles adecuados (Administrator [Administrador], Operator [Operador]) para realizar la funciones de gestión de IPMI.

  • Para los SP que ejecutan el firmware 3.2.4 de Oracle ILOM, o una versión posterior, se admiten sesiones de gestión de IPMI v2.0 y, de forma predeterminada, no se admiten sesiones de gestión de IPMI v1.5. Se puede configurar la propiedad de IPMI v1.5 en Oracle ILOM.

    Notas - Cuando las sesiones de IPMI v1.5 están desactivadas en Oracle ILOM, los usuarios de IPMItool deben usar la opción -I lanplus de IPMI 2.0.

  • Para los SP que ejecutan el firmware 3.2.3 de Oracle ILOM, o versiones anteriores, Oracle ILOM admite sesiones de gestión de IPMI v2.0 y v1.5 No se puede configurar la propiedad de IPMI v1.5 en Oracle ILOM.

    Notas - Las sesiones de IPMI v1.5 no admiten autenticación mejorada ni cifrado de paquetes. Para tener acceso a la autenticación mejorada y el cifrado de paquetes de IPMI, debe usar IPMI v2.0.
  1. Navegue hasta la página IPMI en la interfaz web de Oracle ILOM.

    Por ejemplo:

    • En la interfaz web 3.0, haga clic en Configuration (Configuración) -> System Management Access (Acceso a gestión del sistema) -> IPMI.
    • En la interfaz web 3.1, y en versiones posteriores, haga clic en ILOM Administration (Administración de ILOM) -> Management Access (Acceso a gestión) -> IPMI.
  2. En la página IPMI, vea o configure las propiedades de IPMI adecuadas y, luego, haga clic en Save (Guardar) para aplicar los cambios.

    Para obtener más instrucciones de configuración de IPMI, consulte la documentación adecuada que se muestra a continuación en la sección Información relacionada.

Información relacionada

  • Gestión del servidor mediante IPMI, Referencia de gestión de protocolos SNMP e IPMI de Oracle ILOM (firmware 3.2.x)

  • Gestión del servidor mediante IPMI, Referencia de gestión de protocolos SNMP, IPMI, CIM y WS-MAN de Oracle ILOM 3.1

  • Gestión del servidor mediante IPMI, Referencia de gestión de protocolos SNMP, IPMI, CIM y WS-MAN de Oracle ILOM 3.0

  • IPMI Security Guidelines and Best Practices

  • IPMI 2.0 Authentication Cypher Suite Support

Mejores prácticas y directrices de seguridad de IPMI

Para garantizar que las sesiones de gestión del sistema IPMI establecidas sean seguras y no sean vulnerables a los ciberataques, los administradores del sistema:

  • Nunca deben establecer sesiones de gestión remotas con la versión 1.5 de IPMI (interfaz de IPMItool -I lan). Se debe utilizar explícitamente la versión 2.0 de IPMI cuando se usen utilidades de la línea de comandos, como IPMItool (interfaz de IPMItool -I lanplus).

  • Deben cambiar la contraseña de IPMI de forma regular. Deben asegurarse de que el ciclo de vida de las cuentas de usuario de Oracle ILOM se gestione correctamente.

    Para obtener más información, consulte Securing Oracle ILOM User Access.

  • Deben restringir el acceso a la red desde el exterior. Deben usar el canal de gestión Ethernet dedicado para comunicarse con Oracle ILOM.

    Para obtener más información, consulte Securing the Physical Management Connection.

  • Deben trabajar con el responsable de seguridad de TI para desarrollar un conjunto de mejores prácticas y políticas de la gestión de servidores y seguridad de IPMI.

Compatibilidad con el conjunto de cifrado de autenticación de IPMI 2.0

Los controles de autenticación, confidencialidad e integridad en la versión 2.0 de IPMI se admiten mediante conjuntos de cifrado. Estos conjuntos de cifrado utilizan el protocolo de intercambio de claves autenticado RMCP+ según se describe en la especificación de IPMI 2.0.

Oracle ILOM admite los siguientes algoritmos de claves de conjuntos de cifrado para establecer sesiones de IPMI 2.0 seguras entre el cliente y el servidor.

  • Conjunto de cifrado 2: el conjunto de cifrado 2 utiliza los algoritmos de autenticación e integridad.

  • Conjunto de cifrado 3: el conjunto de cifrado 3 utiliza los 3 algoritmos para autenticación, confidencialidad e integridad.

    Notas - Para garantizar que todo el tráfico de IPMI 2.0 esté cifrado, Oracle ILOM no implementa ninguna compatibilidad con el modo de funcionamiento con tipo de cifrado 0 (no cifrado) de IPMI 2.0.
Copyright © 2012, 2015, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente