Integrierte IPMI Firewall von Supermicro Mainboards nutzen

Aus Thomas-Krenn-Wiki
Wechseln zu: Navigation, Suche

Supermicro X7/X8/H8/X9/X10/X11 Mainboards mit ATEN-basierter IPMI Firmware[1][2] bieten bei neueren Firmware Versionen eine Zugangsbeschränkung auf die Remote-Management-IP durch eine integrierte Firewall (IP Access Control).

Hinweis: Generell empfehlen wir jeden Fernwartungszugang durch eine dedizierte Firewall zu schützen, die hier integrierte Firewall kann aber einen zusätzlichen Schutz bieten.

Firewall aktivieren

Aktivieren via Web

Die Firewallkonfiguration ist im Webinterface im Menü Configuration -> IP Access Control erreichbar.

Das folgende Beispiel erlaubt den Zugriff auf das Remote Management des Servers ausschließlich vom Management-PC mit der IP 10.0.0.4:

  1. Aktivierung der Checkbox Enable IP Access Control
  2. Hinzufügen einer ersten Regel mit der IP Adresse 10.0.0.4 und der Policy ACCEPT
  3. Hinzufügen einer weiteren Regel mit der IP Adresse 0.0.0.0/0 und der Policy DROP (diese Regel verbietet explizit alle Zugriffe ausgenommen jene, die zuvor mit einer vorhergehenden Regel erlaubt wurden)

Der Screenshot zeigt die abgeschlossene Konfiguration aus dem beschriebenen Beispiel:

Aufgrund der konfigurierten IP Access Control Regeln ist der Zugriff auf das Remote Management ausschließlich von der IP 10.0.0.4 erlaubt.

Aktivieren via SMCIPMItool

Für Supermicro X10-Mainboards kann neben dem Webinterface auch das Kommandozeilentool SMCIPMITool zur Konfiguration verwendet werden:

  • java -jar SMCIPMITool.jar [IP] [USERNAME] [PASSWORD] ipmi oem x10cfg ipCtrl<code>

Folgende Unterkommandos sind dabei möglich:

Command:ipmi oem x10cfg ipCtrl 
Command(s): 
list                      	 List IP access control 
status <enable/disable>   	 Enable/Disable IP access control 
add <...>                 	 Add IP access control 
edit <...>                	 Edit IP access control 
delete <rule no>          	 Delete IP access control

Die folgende Ausgabe zeigt eine beispielhafte Konfiuration eines X10SLH-F Mainboards:

$ java -jar SMCIPMITool.jar 10.1.102.120 ADMIN relation123 ipmi oem x10cfg ipCtrl list
 IP Access Control              |                   On 


Rule No | IP Address/Mask                          | Policy               
------- | ---------------                          | ------               
      1 | 10.1.102.101/255.255.255.255             | Accept               
      2 | 0.0.0.0/0.0.0.0                          | Drop                 
      3 |                                          |                      
      4 |                                          |                      
      5 |                                          |                      
      6 |                                          |                      
      7 |                                          |                      
      8 |                                          |                      
      9 |                                          |                      
     10 |                                          |                      

Firewallregeln testen

Der folgende Test zeigt die korrekte Funktion der Firewallkonfiguration.

Zugriffstest vom Management-PC mit der IP 10.0.0.4:

user@ubuntu-11-10:~$ ip addr | grep 10.0.0.4
    inet 10.0.0.4/24 brd 10.0.0.255 scope global wlan0
user@ubuntu-11-10:~$ ping -c 1 10.0.0.241
PING 10.0.0.241 (10.0.0.241) 56(84) bytes of data.
64 bytes from 10.0.0.241: icmp_req=1 ttl=64 time=2.16 ms

--- 10.0.0.241 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 2.168/2.168/2.168/0.000 ms
user@ubuntu-11-10:~$

Zugriffstest von einem anderen Rechner mit der IP 10.0.0.3:

root@9000080177:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
    link/ether 00:25:90:52:d8:35 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:25:90:52:d8:34 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.3/24 brd 10.0.0.255 scope global eth1
    inet6 fe80::225:90ff:fe52:d834/64 scope link 
       valid_lft forever preferred_lft forever
root@9000080177:~# ping -c 10 10.0.0.241
PING 10.0.0.241 (10.0.0.241) 56(84) bytes of data.

--- 10.0.0.241 ping statistics ---
10 packets transmitted, 0 received, 100% packet loss, time 8999ms

root@9000080177:~#

Zugriff nach Aussperrung durch Fehlkonfiguration wieder erlauben

Für den Fall, dass man sich irrtümlich selbst durch die integrierte Firewall aussperrt, gibt es zwei Möglichkeiten einen Factory Reset durchzuführen (und damit die Firewall zu deaktivieren):

  1. Factory Reset mit ipmitool oder ipmicfg durchführen:
    • <code>ipmitool raw 0x3c 0x40[3] oder
    • ipmicfg -fd[4]
  2. Factory Reset beim Einspielen der IPMI Firmware über das IPMI Flash Utility (vom Betriebssystem des betroffenen Servers aus):
    • Informationen zum IPMI Flash Utility für Mainboards mit ATEN IPMI Software finden Sie im Artikel IPMI Firmware Update eines Supermicro Mainboards mit ATEN IPMI Software
    • Beim Einspielen des Firmware Updates muss man in diesem Fall die Option -r no (No Preserve, reset to factory default settings) wählen. Danach muss die IPMI Konfiguration (IP Adresse, Benutzer, etc.) wieder manuell durchgeführt werden oder eine IPMI Konfigurationsdatei eingespielt werden.

Einzelnachweise

  1. Nuvoton WPCM450R IPMI Chip mit ATEN-Software
  2. ASPEED AST2400 IPMI Chip mit ATEN-Software
  3. Do you have a (...) a command set I can send using ipmitool that replicates the reset command? (Supermicro FAQ 15448)
  4. How do you restore the BMC (...) back to the default setting in Linux? (Supermicro FAQ 10237)


Foto Werner Fischer.jpg

Autor: Werner Fischer

Werner Fischer, tätig im Bereich Communications / Knowledge Transfer bei Thomas-Krenn, hat sein Studium zu Computer- und Mediensicherheit an der FH Hagenberg abgeschlossen. Er ist regelmäßig Autor in Fachzeitschriften und Speaker bei Konferenzen wie LinuxCon, OSDC, OSMC, LinuxTag u.v.m. Seine Freizeit gestaltet er sehr abwechslungsreich. In einem Moment absolviert er seinen Abschluss im Klavierspielen, im anderen läuft er beim Linzmarathon in der Staffel mit oder interessiert sich für OpenStreetMap.


Das könnte Sie auch interessieren

ClickBIOS
Remote Management Übersicht
Sicherheitshinweise zur Supermicro IPMI Fernwartungskonfiguration bei IPMI Chips mit ATEN-Software