ÄR DIN SERVER VERKLIGEN BARA DIN?
Det fanns en tid då mycket av arbetet på en server utfördes iförd hörselkåpor, släpandes på en vagn med skärm och tangentbord på. Lyckligtvis, tycker i alla fall jag, är den tiden förbi och 99% av jobbet kan utföras i samma kontorsstol där du gör allt annat jobb också.
Under en period var det även modernt med KVM-switchar i olika utförande. Både lokala, manuella, med långa kablar från serverrum till admin-PC, och nätverksbaserade. Men med tiden byggdes den funktionen in av alla större servertillverkare, t.ex. iLO(Compaq/HP/HPe) och iDRAC(Dell). Den gemensamma benämningen på dessa är BMC – Baseboard Management Controller.
Så nu kan du trycka på strömknappen, uppgradera firmware, se servern skärmbild, ansluta USB/ISO, felsöka fysiska komponenter med mera från vilken dator som helst som har nätåtkomst till BMC-porten. Oavsett om serverns OS har blåskärmat eller bara hänger på grund av en överbelastningsattack.
Fantastiskt smidigt eller hur?
Tyvärr innebär en så kraftfull åtkomst att den är väldigt intressant för hackare, och det har hittats sårbarheter flera gånger i alla leverantörers implementationer. Och som alla vet som läst ”The 10 Immutable Laws of Security”:
“Law #3: If a bad guy has unrestricted physical access to your computer, it’s not your computer anymore”
Så vad kan jag göra?
Som med all säkerhet, ha ALLTID med det redan i planeringsstadiet. Är du redan i produktion blir det lite mer arbete och mer riskfyllt. Men låt för den sakens skull inte bli!
För HPE Gen10 finns det ett dokument på 183(!) sidor som bara handlar om hur du säkrar upp din Proliant och din iLO-infrastruktur! Men lugn, du behöver inte läsa den, för det har jag gjort åt dig (och mer…), och här är mina topp 10 åtgärder du skall se över idag (enligt mig):
- Isolera/segmentera managementnätet från andra nät, låt det aldrig vara öppet mot Internet
- Uppdatera firmware! Förvånansvärt många “missar” detta, tills de öppnar ett supportcase och blir tvingade. För HPE, använd OneView eller iLOAmp för att underlätta hanteringen
- Sätt kraftiga lösenord och skapa olika konto för olika uppgifter. Använd inte standardkontot
- Sätt serverns OS att låsa konsolskärmen vid inaktivitet
- Använd riktiga CA-signerade cert med stark kryptering för åtkomst
- Sätt IPMI till Disabled. iLO har enligt min erfarenhet det du behöver av IPMI-definitionen, och iLO är generellt säkrare
- Sätt Update Service Settings till ”Permanently Disallow Downgrades”. Då kan man inte nedgradera firmware till en osäker. Det bromsar t.ex ”iLOBleed” som var en sårbarhet fram till v1.40, men som fortfarande spökar. Försiktigt dock, ändringen är verkligen permanent…
- Logga och övervaka åtkomst och förändringar, helst centralt
- Prenumerera på nyhetsbrev om säkerhet för dina servrar, eller anlita en seriös partner som gör det åt dig. Då får du veta när relevanta sårbarheter och dess uppdateringar kommer
- Använd HPE Infosight for Servers. För servrar kräver det än så länge iLOAmp, men det är det värt. Du får centralt koll på serverparken och vilken firmware och drivrutiner du har, och varningar om en uppdatering krävs. Bland mycket annat!
BONUS!
- Anlita Cuebid och kör en intern penetrationstest med Pentera, så du får svart på vitt vilka sårbarheter du har idag, och en genomgång av vad som är viktigast att åtgärda!
Jag hoppas du fått lite inspiration, och kanske en tankeställare av dagens blogg. Och när du gått igenom listan och har massa frågor, så går det utmärkt att höra av sig med dem. Vi hjälper dig så gärna till en bättre sömn.
Stay safe, backup!
/Fredrik