Oracle® ILOM - Sicherheitshandbuch - Firmwarereleases 3.0, 3.1 und 3.2

Druckansicht beenden

Aktualisiert: Oktober 2015
 
 

Verwenden von IPMI v2.0 für erweiterte Authentifizierung und Paketverschlüsselung

Oracle ILOM unterstützt zwar IPMI 1.5 und 2.0 für Remoteverwaltung, jedoch sollten Systemadministratoren immer die IPMI 2.0 -l lanplus-Schnittstelle verwenden, um Oracle-Server sicher verwalten zu können. Die -l lanplus-Schnittstelle bietet erweiterte Authentifizierungs- und Datenintegrationsprüfungen ab IPMI-Version 2.0.

Ab Firmware-Version 3.2.4 bietet Oracle ILOM eine konfigurierbare Eigenschaft für die Aktivierung oder Deaktivierung von IPMI v1.5-Sitzungen. Für ein hohes Maß an Sicherheit ist die IPMI v1.5-Eigenschaft standardmäßig deaktiviert. Wenn die IPMI v1.5-Eigenschaft deaktiviert ist, werden alle IPMI v1.5-Sitzungsverbindungen mit Oracle ILOM verhindert (blockiert).

Im Folgenden finden Sie Informationen zum Anzeigen oder Ändern der IPMI-Serviceeigenschaft "State" oder der konfigurierbaren IPMI v1.5-Eigenschaft, die ab Firmware-Version 3.2.4 verfügbar ist.

Bevor Sie beginnen

  • Die Rolle Admin (a) ist erforderlich, um IPMI-Eigenschaften in Oracle ILOM zu ändern.

  • Die IPMI-Serviceeigenschaft "State" ist standardmäßig aktiviert. Vor der Verwendung müssen Benutzerkonten mit den richtigen rollenbasierten Berechtigungen (Administrator, Operator) in Oracle ILOM konfiguriert sein, um IPMI-Verwaltungsfunktionen ausführen zu können.

  • Bei SPs mit Oracle ILOM-Firmware-Version 3.2.4 oder höher werden IPMI v2.0-Verwaltungssitzungen unterstützt, und IPMI v1.5-Verwaltungssitzungen werden standardmäßig nicht unterstützt. Die IPMI v1.5-Eigenschaft kann in Oracle ILOM konfiguriert werden.


    Hinweis - Wenn IPMI v1.5-Sitzungen in Oracle ILOM deaktiviert sind, müssen Benutzer von IPMItool die IPMI 2.0 -I lanplus-Option verwenden.
  • Bei SPs mit Oracle ILOM-Firmware-Version 3.2.3 oder älter werden IPMI v2.0- und v1.5-Verwaltungssitzungen von Oracle ILOM unterstützt. Die IPMI v1.5-Eigenschaft kann nicht in Oracle ILOM konfiguriert werden.


    Hinweis - Bei IPMI v1.5-Sitzungen wird keine erweiterte Authentifizierung oder Paketverschlüsselung unterstützt. Für die erweiterte Authentifizierung und IPMI-Paketverschlüsselung müssen Sie IPMI v2.0 verwenden.
  1. Navigieren Sie zur Seite "IPMI" in der Oracle ILOM-Webbenutzeroberfläche.

    Beispiele:

    • Klicken Sie in der 3.0-Webbenutzeroberfläche auf "Configuration" -> "System Management Access" -> "IPMI".
    • Klicken Sie in Version 3.1 und höher der Webbenutzeroberfläche auf "ILOM Administration" -> "Management Access" -> "IPMI".
  2. Zeigen Sie auf der Seite "IPMI" die IPMI-Eigenschaften an, und konfigurieren Sie diese bei Bedarf. Klicken Sie dann auf "Save", um die Änderungen anzuwenden.

    Zusätzliche IPMI-Konfigurationsanweisungen finden Sie in der entsprechenden Dokumentation im Abschnitt "Zusätzliche Informationen" weiter unten.

Zusätzliche Informationen

IPMI-Sicherheitsrichtlinien und Best Practices

Um sicherzustellen, dass eingerichtete IPMI-Systemverwaltungssitzungen sicher und nicht anfällig für Cyber-Angriffe sind, sollten Systemadministratoren:

  • niemals IPMI-Remote-Verwaltungssitzungen mit IPMI-Version 1.5 (-I lan IPMItool-Schnittstelle) einrichten. Sie sollten die IPMI-Version 2.0 explizit mit Befehlszeilenutilitys wie IPMItools (-I lanplus IPMItool-Schnittstelle) verwenden.

  • Ihr ILMI-Passwort regelmäßig ändern. Stellen Sie sicher, dass der Lebenszyklus von Oracle ILOM-Benutzerkonten angemessen verwaltet wird.

    Weitere Einzelheiten finden Sie unter Securing Oracle ILOM User Access.

  • Netzwerkzugriff von außen einschränken. Kommunizieren Sie über den dedizierten Ethernet-Verwaltungskanal mit Oracle ILOM.

    Weitere Einzelheiten dazu finden Sie unter Securing the Physical Management Connection.

  • Zusammen mit dem IT-Sicherheitsbeauftragten eine Gruppe von Best Practices und Policys zu Serververwaltung und zur IPMI-Sicherheit erstellen

Unterstützung von IPMI 2.0-Authentifizierung über Cipher Suite

Authentifizierung, Vertraulichkeit und Integritätsprüfungen in IPMI Version 2.0 werden über Cipher Suites unterstützt. Diese Cipher Suites verwenden das RMCP+ Authenticated Key-Exchange Protocol wie in der IPMI 2.0-Spezifikation beschrieben.

Oracle ILOM unterstützt die folgenden Schlüsselalgorithmen der Cipher Suite, um sichere IPMI 2.0-Sitzungen zwischen Client und Server einzurichten.

  • Cipher Suite 2 – Cipher Suite 2 verwendet Authentifizierungs- und Integritätsalgorithmen.

  • Cipher Suite 3 – Cipher Suite 3 verwendet alle drei Algorithmen für Authentifizierung, Vertraulichkeit und Integrität.


    Hinweis - Um sicherzustellen, dass der gesamte IPMI 2.0-Datenverkehr verschlüsselt wird, implementiert Oracle ILOM keine Unterstützung für IPMI 2.0 Cipher Type 0 (unverschlüsselter Betriebsmodus).