Re: IPMI

To: debian-user-dutch@lists.debian.org
Subject: Re: IPMI
From: Jan-Rens Reitsma <jan.rens.reitsma@gmail.com>
Date: Wed, 01 Oct 2014 10:42:42 +0200
Message-id: <[🔎] 542BBE82.4080806@gmail.com>
In-reply-to: <5428094D.5090001@vandervlis.nl>
References: <20140926131114.GP9398@gpm.stappers.nl> <542728B5.7020507@vandervlis.nl> <54280168.8040706@gmail.com> <5428094D.5090001@vandervlis.nl>

On 09/28/2014 03:12 PM, Paul van der Vlis wrote:

op 28-09-14 14:39, Jan-Rens Reitsma schreef:

On 09/27/2014 11:14 PM, Paul van der Vlis wrote:

op 26-09-14 15:11, Geert Stappers schreef:

Naar IPMI ben ik wel benieuwd.
Ik het subject aangepast en de thread gebroken.


Wat wil je weten?

IPMI is eigenlijk een klein tweede computertje in je kast, wat kan
toegrijpen op de hardware van de echte computer. Zie het als een trojan
in hardware uitgevoerd ;-)


Is een IMPI hetzelfde als het extra besturingssysteem zoals dat in (de
grotere en nieuwere) HP Proliant-servers toegepast wordt?


Ja, vergelijkbaar. Of hetzelfde.


Sorry, slordigheidje, ik bedoelde IPMI ipv IMPI! ;)

Ik dacht dat je met IPMI een soort BMC (Baseboard Management Controler)bedoelde. Over BMC's had ik het een en ander gelezen en gehoord.


Op:

http://en.wikipedia.org/wiki/Intelligent_Platform_Management_Interface

staat beschreven uit welke onderdelen een IPMI is opgebouwd. De BMC iseen onderdeel van de IPMI als ik het goed begrijp.

Volgens mij
heeft het "computertje" dat de server in de gaten houdt, en de server
eventueel kan stoppen of opnieuw kan installeren, enkel een aparte
achteringang en geen ingang die direct via internet toegankelijk is.


Dat ligt er maar aan hoe je die "aparte achteringang" aansluit.
Je kunt hem heus ook direct aan internet hangen, en er zijn ook mensen
die dat doen:
http://arstechnica.com/security/2014/06/at-least-32000-servers-broadcast-admin-passwords-in-the-clear-advisory-warns/

Aardig om het artikel even gelezen te hebben. Ik had al eerder iets overonderhoud en beveiliging van (big-business-class-)servers gelezen.Als ik me niet vergis kun je alle faciliteiten van een (business-class)BMC/IPMI alleen gebruiken als je een (vrij prijzig) contract met deleverancier van de server afsluit. Die levert dan de software, updates,service en geeft garantie (en tegen meerprijs evt nog meer toeters enbellen).

Die
achteringang hoort volgens mij alleen via een apart netwerk toegankelijk
te zijn dat zich achter een zwaar bewaakte firewall bevindt.


Dat is wat ik ook schreef.

Op wikipedia staat dat er vaak gebruik gemaakt wordt van out-of-bandmanagement. (Zie: http://en.wikipedia.org/wiki/Out-of-band_management)

Ik neem aan dat er (flinke) verschillen zijn tussen deIPMI-implementaties die verschillende fabrikanten van servers leveren.

Als dit
computertje als trojan zou fungeren, dan is er volgens mij iets ernstig
mis gegaan.


Misschien is "hardware trojan" niet het juiste woord, vandaar ook die
knipoog. IPMI wordt normaal gebruikt voor heel legitieme zaken.

Ik denk dat bedrijven als HP niet blij zijn wanneer een klant in deproblemen raakt omdat hij slordig met toegang tot de IPMI van zijnserver omspringt.

Maar ik begrijp uit het artikel dat je aanhaalde, dat grote IT-bedrijvenin het verleden ook steken hebben laten vallen als het om beveiligingvan IPMI's gaat. Dat geeft te denken ...


Groet,
Paul.


Groeten,
Jan-Rens.

Reply to:

Follow-Ups:
- Re: IPMI
  - From: Paul van der Vlis <paul@vandervlis.nl>

Prev by Date: Re: bash vraag
Next by Date: Re: bash vraag
Previous by thread: Re: bash vraag
Next by thread: Re: IPMI
Index(es):
- Date
- Thread