Integrierte IPMI Firewall von Supermicro Mainboards nutzen

Aus Thomas-Krenn-Wiki
Zur Navigation springen Zur Suche springen

Supermicro X7/X8/H8/X9/X10/X11 Mainboards mit ATEN-basierter IPMI Firmware[1][2] bieten bei neueren Firmware Versionen eine Zugangsbeschränkung auf die Remote-Management-IP durch eine integrierte Firewall (IP Access Control).

Hinweis: Generell empfehlen wir jeden Fernwartungszugang durch eine dedizierte Firewall zu schützen, die hier integrierte Firewall kann aber einen zusätzlichen Schutz bieten.

Firewall aktivieren

Aktivieren via Web

Die Firewallkonfiguration ist im Webinterface im Menü Configuration -> IP Access Control erreichbar.

Das folgende Beispiel erlaubt den Zugriff auf das Remote Management des Servers ausschließlich vom Management-PC mit der IP 10.0.0.4:

  1. Aktivierung der Checkbox Enable IP Access Control
  2. Hinzufügen einer ersten Regel mit der IP Adresse 10.0.0.4 und der Policy ACCEPT
  3. Hinzufügen einer weiteren Regel mit der IP Adresse 0.0.0.0/0 und der Policy DROP (diese Regel verbietet explizit alle Zugriffe ausgenommen jene, die zuvor mit einer vorhergehenden Regel erlaubt wurden)

Der Screenshot zeigt die abgeschlossene Konfiguration aus dem beschriebenen Beispiel:

Aufgrund der konfigurierten IP Access Control Regeln ist der Zugriff auf das Remote Management ausschließlich von der IP 10.0.0.4 erlaubt.

Aktivieren via SMCIPMItool

Für Supermicro X10-Mainboards kann neben dem Webinterface auch das Kommandozeilentool SMCIPMITool zur Konfiguration verwendet werden:

  • java -jar SMCIPMITool.jar [IP] [USERNAME] [PASSWORD] ipmi oem x10cfg ipCtrl

Folgende Unterkommandos sind dabei möglich:

Command:ipmi oem x10cfg ipCtrl 
Command(s): 
list                      	 List IP access control 
status <enable/disable>   	 Enable/Disable IP access control 
add <...>                 	 Add IP access control 
edit <...>                	 Edit IP access control 
delete <rule no>          	 Delete IP access control

Die folgende Ausgabe zeigt eine beispielhafte Konfiuration eines X10SLH-F Mainboards:

$ java -jar SMCIPMITool.jar 10.1.102.120 ADMIN relation123 ipmi oem x10cfg ipCtrl list
 IP Access Control              |                   On 


Rule No | IP Address/Mask                          | Policy               
------- | ---------------                          | ------               
      1 | 10.1.102.101/255.255.255.255             | Accept               
      2 | 0.0.0.0/0.0.0.0                          | Drop                 
      3 |                                          |                      
      4 |                                          |                      
      5 |                                          |                      
      6 |                                          |                      
      7 |                                          |                      
      8 |                                          |                      
      9 |                                          |                      
     10 |                                          |                      

Firewallregeln testen

Der folgende Test zeigt die korrekte Funktion der Firewallkonfiguration.

Zugriffstest vom Management-PC mit der IP 10.0.0.4:

user@ubuntu-11-10:~$ ip addr | grep 10.0.0.4
    inet 10.0.0.4/24 brd 10.0.0.255 scope global wlan0
user@ubuntu-11-10:~$ ping -c 1 10.0.0.241
PING 10.0.0.241 (10.0.0.241) 56(84) bytes of data.
64 bytes from 10.0.0.241: icmp_req=1 ttl=64 time=2.16 ms

--- 10.0.0.241 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 2.168/2.168/2.168/0.000 ms
user@ubuntu-11-10:~$

Zugriffstest von einem anderen Rechner mit der IP 10.0.0.3:

root@9000080177:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
    link/ether 00:25:90:52:d8:35 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:25:90:52:d8:34 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.3/24 brd 10.0.0.255 scope global eth1
    inet6 fe80::225:90ff:fe52:d834/64 scope link 
       valid_lft forever preferred_lft forever
root@9000080177:~# ping -c 10 10.0.0.241
PING 10.0.0.241 (10.0.0.241) 56(84) bytes of data.

--- 10.0.0.241 ping statistics ---
10 packets transmitted, 0 received, 100% packet loss, time 8999ms

root@9000080177:~#

Zugriff nach Aussperrung durch Fehlkonfiguration wieder erlauben

Für den Fall, dass man sich irrtümlich selbst durch die integrierte Firewall aussperrt, gibt es zwei Möglichkeiten einen Factory Reset durchzuführen (und damit die Firewall zu deaktivieren):

  1. Factory Reset mit ipmitool oder ipmicfg durchführen:
    • ipmitool raw 0x3c 0x40[3] oder
    • ipmicfg -fd[4]
  2. Factory Reset beim Einspielen der IPMI Firmware über das IPMI Flash Utility (vom Betriebssystem des betroffenen Servers aus):
    • Informationen zum IPMI Flash Utility für Mainboards mit ATEN IPMI Software finden Sie im Artikel IPMI Firmware Update eines Supermicro Mainboards mit ATEN IPMI Software
    • Beim Einspielen des Firmware Updates muss man in diesem Fall die Option -r no (No Preserve, reset to factory default settings) wählen. Danach muss die IPMI Konfiguration (IP Adresse, Benutzer, etc.) wieder manuell durchgeführt werden oder eine IPMI Konfigurationsdatei eingespielt werden.

Einzelnachweise


Foto Werner Fischer.jpg

Autor: Werner Fischer

Werner Fischer arbeitet im Product Management Team von Thomas-Krenn. Er evaluiert dabei neueste Technologien und teilt sein Wissen in Fachartikeln, bei Konferenzen und im Thomas-Krenn Wiki. Bereits 2005 - ein Jahr nach seinem Abschluss des Studiums zu Computer- und Mediensicherheit an der FH Hagenberg - heuerte er beim bayerischen Server-Hersteller an. Als Öffi-Fan nutzt er gerne Bus & Bahn und genießt seinen morgendlichen Spaziergang ins Büro.


Das könnte Sie auch interessieren

IPMI KVM Konsole bleibt bei Supermicro X7 Mainboard schwarz
Libupnp Pufferüberlauf bei Mainboards mit Nuvoton WPCM450R IPMI Chips mit ATEN-Software
Sicherheitshinweise zur Supermicro IPMI Fernwartungskonfiguration bei IPMI Chips mit ATEN-Software