Supermicro Remote Management Netzwerk Ports

Aus Thomas-Krenn-Wiki
Wechseln zu: Navigation, Suche

Dieser Artikel beschreibt welche TCP/UDP Ports auf einer Firewall für einen Zugriff auf die unterschiedlichen Dienste (z.B. Webinterface, IPMI, Remote Console) des Full Remote Managements von Supermicro Servern offen sein müssen.

Allgemeiner Sicherheitshinweis

Wir empfehlen administrative Zugänge wie IPMI- aber auch etwa SSH-Dienste nicht offen im Internet zu betreiben, sondern mittels Firewall/VPN den Zugriff auf solche Dienste ausschließlich berechtigten Personen zu ermöglichen.[1]

Verwendete TCP/UDP Ports

Abhängig vom verwendeten IPMI Chip werden die jeweils unten angeführten Ports verwendet. Informationen, welche Mainboards welche Chips verwenden, finden Sie in den folgenden Artikeln:

Allgemein gilt:

ATEN-basierte IPMI Chips

Konfiguration der Port Nummern bei IPMI Chips mit ASPEED-ATEN Firmware (FW 1.42).
Konfiguration der Port Nummern bei IPMI Chips mit Nuvoton-ATEN Firmware (FW 3.29).
Bei Mainboards mit ATEN-basierten IPMI Chips werden die folgenden Ports verwendet (getestet mit ASPEED-ATEN Firmware 1.42 und Nuvoton-ATEN Firmware 3.29):
Port Nummer Port Nummer
veränderbar
Dienst Anmmerkung
22 (TCP) ja (*) SSH SSH für SMASH.
80 (TCP) ja HTTP Zugriff auf das Webinterface.
161 (UDP) ja SNMP Zugriff auf SNMP (für X10 Mainboards mit ASPEED Chips auf Firmware Version 1.69).
443 (TCP) ja HTTPS Zugriff auf das Webinterface (SSL-verschlüsselt).
623 (UDP) nein IPMI Zugriff für IPMI Programme wie IPMItool oder FreeIPMI.
623 (TCP) ja Virtual Media Virtual Media für die Remote Console.
5900 (TCP) ja Remote Console KVM over IP, aufrufbar über das Webinterface oder ukvm.
5985 (TCP) ja (*) Wsman Dienst ist bei ASPEED-ATEN standardmäßig deaktiviert.

(*) Nur bei ASPEED-ATEN IPMI Chips, nicht bei Nuvoton-ATEN IPMI Chips.

AMI-basierte IPMI Chips

Konfiguration der Port Nummern bei IPMI Chips mit Nuvoton-AMI Firmware (FW 3.01).

Bei Mainboards mit AMI-basierten IPMI Chips werden die folgenden Ports verwendet (getestet mit Nuvoton-AMI Firmware 3.01):

Port Nummer Port Nummer
veränderbar
Dienst Anmmerkung
22 (TCP) nein SSH SSH Zugriff auf die integrierte BusyBox Shell.
80 (TCP) ja HTTP Zugriff auf das Webinterface.
443 (TCP) nein HTTPS Zugriff auf das Webinterface (SSL-verschlüsselt).
555 (TCP) nein Wsman Web Services-Management (SOAP-basiertes Protokoll).
623 (UDP) nein IPMI Zugriff für IPMI Programme wie IPMItool oder FreeIPMI.
5120 (TCP) ja CD CD für die Remote Console.
5123 (TCP) nein Floppy Floppy für die Remote Console.
5900 (TCP) ja Remote Console KVM over IP, aufrufbar über das Webinterface oder ukvm.
5901 (TCP) ja Video Video für die Remote Console.
5988 (TCP) nein wbem-http Web Based Enterprise Management (sfcbd).

Raritan-basierte IPMI Chips

Konfiguration der Port Nummern bei Raritan-basierten IPMI Chips.

Bei Supermicro X7- und H8-Mainboards mit Raritan-basierten IPMI Remote Managementmodulen AOC-SIM1U+/AOC-SIMSO+ werden die folgenden Ports verwendet (getestet mit Firmware 1.66):

Port Nummer Port Nummer
veränderbar
Beschreibung Anmmerkung
22 (TCP) ja SSH SSH ist standardmäßig deaktiviert (siehe Screenshot).
80 (TCP) ja HTTP Zugriff auf das Webinterface, Remote Console, Virtual Media.
443 (TCP) ja HTTPS Zugriff auf das Webinterface, Remote Console, Virtual Media (SSL-verschlüsselt).
623 (UDP) nein IPMI Zugriff für IPMI Programme wie IPMItool oder FreeIPMI.

Einzelnachweise

  1. Best Practices for managing servers with IPMI features enabled in Datacenters (www.supermicro.com)

Weitere Informationen


Foto Werner Fischer.jpg

Autor: Werner Fischer

Werner Fischer, tätig im Bereich Communications / Knowledge Transfer bei Thomas-Krenn, hat sein Studium zu Computer- und Mediensicherheit an der FH Hagenberg abgeschlossen. Er ist regelmäßig Autor in Fachzeitschriften und Speaker bei Konferenzen wie LinuxCon, OSDC, OSMC, LinuxTag u.v.m. Seine Freizeit gestaltet er sehr abwechslungsreich. In einem Moment absolviert er seinen Abschluss im Klavierspielen, im anderen läuft er beim Linzmarathon in der Staffel mit oder interessiert sich für OpenStreetMap.


Das könnte Sie auch interessieren

ClickBIOS
IPMI BMC reset bei IPMI Problemen
Login im Supermicro Remote Management Webinterface funktioniert nicht