wikiSupermicro Remote Management Netzwerk Ports
Dieser Artikel beschreibt welche TCP/UDP Ports auf einer Firewall für einen Zugriff auf die unterschiedlichen Dienste (z.B. Webinterface, IPMI, Remote Console) des Full Remote Managements von Supermicro Servern offen sein müssen.
Allgemeiner Sicherheitshinweis
Wir empfehlen administrative Zugänge wie IPMI- aber auch etwa SSH-Dienste nicht offen im Internet zu betreiben, sondern mittels Firewall/VPN den Zugriff auf solche Dienste ausschließlich berechtigten Personen zu ermöglichen.[1]
Verwendete TCP/UDP Ports
Abhängig vom verwendeten IPMI Chip werden die jeweils unten angeführten Ports verwendet. Informationen, welche Mainboards welche Chips verwenden, finden Sie in den folgenden Artikeln:
- ATEN-basierte IPMI Chips: ASPEED-ATEN#Mainboards und Nuvoton-ATEN#Mainboards
- AMI-basierte IPMI Chips: Nuvoton-AMI#Mainboards
Allgemein gilt:
- Für das Einbinden von Virtual Media via IPMI muss ein Zugriff vom IPMI Chip auf den jeweiligen Freigabe-Server (Samba oder Windows) möglich sein.
ATEN-basierte IPMI Chips
Bei Mainboards mit ATEN-basierten IPMI Chips werden die folgenden Ports verwendet (getestet mit ASPEED-ATEN Firmware 1.42 und Nuvoton-ATEN Firmware 3.29):
| Port Nummer | Port Nummer veränderbar |
Dienst | Anmmerkung |
|---|---|---|---|
| 22 (TCP) | ja (*) | SSH | SSH für SMASH. |
| 80 (TCP) | ja | HTTP | Zugriff auf das Webinterface. |
| 161 (UDP) | ja | SNMP | Zugriff auf SNMP (für X10 Mainboards mit ASPEED Chips auf Firmware Version 1.69). |
| 443 (TCP) | ja | HTTPS | Zugriff auf das Webinterface (SSL-verschlüsselt). |
| 623 (UDP) | nein | IPMI | Zugriff für IPMI Programme wie IPMItool oder FreeIPMI. |
| 623 (TCP) | ja | Virtual Media | Virtual Media für die Remote Console. |
| 5900 (TCP) | ja | Remote Console | KVM over IP, aufrufbar über das Webinterface oder ukvm. |
| 5985 (TCP) | ja (*) | Wsman | Dienst ist bei ASPEED-ATEN standardmäßig deaktiviert. |
(*) Nur bei ASPEED-ATEN IPMI Chips, nicht bei Nuvoton-ATEN IPMI Chips.
AMI-basierte IPMI Chips
Bei Mainboards mit AMI-basierten IPMI Chips werden die folgenden Ports verwendet (getestet mit Nuvoton-AMI Firmware 3.01):
| Port Nummer | Port Nummer veränderbar |
Dienst | Anmmerkung |
|---|---|---|---|
| 22 (TCP) | nein | SSH | SSH Zugriff auf die integrierte BusyBox Shell. |
| 80 (TCP) | ja | HTTP | Zugriff auf das Webinterface. |
| 443 (TCP) | nein | HTTPS | Zugriff auf das Webinterface (SSL-verschlüsselt). |
| 555 (TCP) | nein | Wsman | Web Services-Management (SOAP-basiertes Protokoll). |
| 623 (UDP) | nein | IPMI | Zugriff für IPMI Programme wie IPMItool oder FreeIPMI. |
| 5120 (TCP) | ja | CD | CD für die Remote Console. |
| 5123 (TCP) | nein | Floppy | Floppy für die Remote Console. |
| 5900 (TCP) | ja | Remote Console | KVM over IP, aufrufbar über das Webinterface oder ukvm. |
| 5901 (TCP) | ja | Video | Video für die Remote Console. |
| 5988 (TCP) | nein | wbem-http | Web Based Enterprise Management (sfcbd). |
Raritan-basierte IPMI Chips
Bei Supermicro X7- und H8-Mainboards mit Raritan-basierten IPMI Remote Managementmodulen AOC-SIM1U+/AOC-SIMSO+ werden die folgenden Ports verwendet (getestet mit Firmware 1.66):
| Port Nummer | Port Nummer veränderbar |
Beschreibung | Anmmerkung |
|---|---|---|---|
| 22 (TCP) | ja | SSH | SSH ist standardmäßig deaktiviert (siehe Screenshot). |
| 80 (TCP) | ja | HTTP | Zugriff auf das Webinterface, Remote Console, Virtual Media. |
| 443 (TCP) | ja | HTTPS | Zugriff auf das Webinterface, Remote Console, Virtual Media (SSL-verschlüsselt). |
| 623 (UDP) | nein | IPMI | Zugriff für IPMI Programme wie IPMItool oder FreeIPMI. |
Einzelnachweise
- ↑ Best Practices for managing servers with IPMI features enabled in Datacenters (www.supermicro.com)
Weitere Informationen
- Supermicro Intelligent Management (IPMI) (www.supermicro.com)
 |
Autor: Werner Fischer Werner Fischer arbeitet im Product Management Team von Thomas-Krenn. Er evaluiert dabei neueste Technologien und teilt sein Wissen in Fachartikeln, bei Konferenzen und im Thomas-Krenn Wiki. Bereits 2005 - ein Jahr nach seinem Abschluss des Studiums zu Computer- und Mediensicherheit an der FH Hagenberg - heuerte er beim bayerischen Server-Hersteller an. Als Öffi-Fan nutzt er gerne Bus & Bahn und genießt seinen morgendlichen Spaziergang ins Büro.
|
