Oracle® VM Server for SPARC 3.2 - Sicherheitshandbuch

Druckansicht beenden

Aktualisiert: März 2015
 
 

ILOM

    Alle aktuellen Oracle SPARC-Systeme umfassen einen integrierten Systemcontroller (ILOM), der folgende Funktionen hat:

  • Verwaltung grundlegender Umgebungsüberwachungselemente, wie Lüftergeschwindigkeit und Stromversorgung des Gehäuses.

  • Aktivierung von Firmwareupgrades

  • Bereitstellung der Systemkonsole für die Kontrolldomain

Sie können auf den ILOM über eine serielle Verbindung zugreifen oder können SSH, HTTP, HTTPS, SNMP oder IPMI für den Zugriff über einen Netzwerkport verwenden. Die Fujitsu M10-Server verwenden XSCF anstelle von ILOM zur Ausführung ähnlicher Funktionen.

Bedrohung: Vollständiges Denial-of-Service des Systems

    Ein Angreifer, der Kontrolle über den ILOM erhält, kann das System auf unterschiedliche Weise gefährden, einschließlich:

  • Unterbrechung der Stromzufuhr für alle ausgeführten Gastdomains

  • Installieren von manipulierter Firmware, um Zugriff auf mindestens eine Gastdomain zu erhalten

Diese Szenarios gelten für jedes System, das ein derartiges Controllergerät enthält. In einer virtualisierten Umgebung kann der Schaden wesentlich größer sein als in einer physischen Umgebung, weil viele Domains, die sich in demselben Systemgehäuse befinden, in Gefahr sind.

Gleichermaßen kann ein Angreifer, der Kontrolle über die Kontrolldomain oder eine I/O-Domain erhält, jederzeit alle abhängigen Gastdomains deaktivieren, indem er die entsprechenden I/O-Services herunterfährt.

Bewertung: Vollständiges Denial-of-Service des Systems

Während der ILOM im Allgemeinen mit einem administrativen Netzwerk verbunden ist, können Sie auch aus der Kontrolldomain auf den ILOM zugreifen, indem Sie IPMI mit dem BMC-Zugriffsmodul verwenden. Deshalb müssen diese beiden Verbindungstypen gut geschützt und von den normalen Production-Netzwerken isoliert werden.

Gleichermaßen kann ein Angreifer eine Servicedomain aus dem Netzwerk oder über einen Fehler in dem Virtualisierungsstack verletzen und dann die Gast-I/O blockieren oder ein System herunterfahren. Der Schaden ist zwar begrenzt, weil Daten weder verloren gehen noch gefährdet werden, kann sich jedoch auf eine große Anzahl von Gastdomains auswirken. Deshalb müssen Sie sich vor der Wahrscheinlichkeit dieser Bedrohung schützen, um einen potenziellen Schaden zu begrenzen.

Gegenmaßnahme: Sichern des ILOM

    Als Systemserviceprozessor kontrolliert der ILOM kritische Funktionen wie Stromversorgung des Gehäuses, Konfigurationen für das Hochfahren von Oracle VM Server for SPARC und Konsolenzugriff auf die Kontrolldomain. Mit folgenden Maßnahmen können Sie den ILOM sichern:

  • Setzen Sie den Netzwerkport des ILOM in ein Netzwerksegment, das von dem administrativen Netzwerk getrennt ist, das für die Domains in der Ausführungsumgebung verwendet wird.

  • Für den Vorgang ist die Deaktivierung aller Services nicht erforderlich, wie HTTP, IPMI, SNMP, HTTPS und SSH.

  • Konfigurieren dedizierter und persönlicher Administratorkonten, die nur die erforderlichen Rechte erteilen. Um die Verantwortung für die von Administratoren ausgeführten Aktionen zu maximieren, müssen Sie persönliche Administratorkonten erstellen. Dieser Zugriffstyp ist besonders für Konsolenzugriff, Firmwareupgrades und Verwaltung von Startup-Konfigurationen wichtig.