Die Grundlagen des Intelligent Platform Management Interface (IPMI)

Home » Server-Hardware » Die Grundlagen des Intelligent Platform Management Interface (IPMI)
30. März 2015 Server-Hardware, Sicherheit 2 Kommentare

Das Intelligent Platform Management Interface ( IPMI) ist eine standardisierte Schnittstelle zur Überwachung von Server-Hardware. Dabei geht die Überwachung weit über die bei Desktop-Systemen übliche Abfrage von Temperatur-  und Spannungswerten hinaus und ermöglicht mittels spezieller Controller und einer ganzen Reihe von Sensoren eine sehr detaillierte Diagnose des Systems. Eine ganze Anzahl von Sensor-Daten wird zudem zur späteren Auswertung in ein integriertes Logbuch geschrieben. Nebenbei lässt sich neben einer Reihe von weiteren Features der Server von der Ferne auch Aus- und auch wieder Einschalten.

Quelle: http://www.intel.com/content/www/us/en/server-management/intel-remote-management-module.html

Die Überwachung kann lokal, aber auch an einem entfernten Standort erfolgen. Zu diesem Zweck kann einer der „normalen“ integrierten LAN-Ports des Server-Mainboards oder aber ein per Zusatzmodul installierter, dedizierter LAN-Port verwendet werden. Die zum Jahreswechsel 2014/2015 erschienene Intel Grantley-Plattform ist bereits ab Werk mit einem für IPMI dedizierten LAN-Port ausgestattet.

Eine Besonderes, KVM genanntes (Keyboard, Video, Mouse) Feature von IPMI ist die Möglichkeit, Remote auf den Server zugreifen zu können. Dazu gehört nicht nur die Übertragung des Bildschirminhalts sowie die Fern-Steuerung mittels Tastatur und Maus über das Netzwerk oder das Internet. Auch ein lokal vorliegendes Image oder eine lokal eingelegte DVD lassen sich mounten. Mit vorkonfigurierter IPMI Schnitstelle ist bis auf eine manuelle Wartung also alles möglich, was ein Server-Techniker sonst auch vor Ort machen kann.

Dazu zählen Firmware-Updates, BIOS oder RAID-Bios Konfigurationen und die Installation eines neuen Betriebssystems.

Entwickelt wurde IPMI durch die Intelligent Platform Management Interface Initiative, bestehend aus HP, DELL, der NEC Corporation und der Intel Corporation. Da IPMI ein plattformübergreifender Standard ist, sind die darauf basierenden propriretären Ausführungen der einzelnen Hersteller (HP ILO, DELL IDRAC, Sun/Oracle ILOM und Intel RMM4) grundsätzlich kompatibel und lassen sich somit auch einheitlich überwachen (zum Beispiel mit Nagios).

 

Vorraussetzungen

 

Will man per KVM auf einen belibiegen Server zugreifen, sind ein paar geringe Vorraussetzungen zu erfüllen. Folgeden Tabelle zeigt die von Intel offiziell Unterstützten Konfigurationen. Zusätzlich zu den hier aufgeführten Betriebssystemen und Browsern ist das Java Runtime Environment ab Version 6 Update 22 erforderlich.

Server-Harware Unterstützte Betriebssysteme (Microsoft) Unterstützte Betriebssysteme (Linux) Unterstützte Browser
E5-4600/2600/2400/1600/1400 (v1&v2) ab Microsoft Windows 7* SP1
ab Microsoft Windows Server 2008* SP2
ab SUSE* Enterprise Linux 11 SP2
ab Red Hat* Enterprise Linux 5 Update 7
ab Microsoft Internet Explorer 8.0*
Mozilla Firefox* 10 (Windows)
ab Mozilla Firefox* 3.0 (Linux)
1200V3RP und
S1200BTL
Server-Mainboards
Server-Mainboards auf Basis von E5-2600 V3

(Intel Grantley:
2600WT, S2600KP, S2600TP und S2600CW)
ab Microsoft Windows Server 2008* R2 SP1
ab Red Hat* Enterprise Linux 6.5 x64
SUSE* Enterprise Linux 11 SP3 x64
ab CentOS 6.5
ab Ubuntu 14.04
ab VMware ESXi 5.5U1
ab Microsoft Internet Explorer 9.0*
ab Mozilla Firefox 24*

 

Konfiguration

 

Ports

Nutzt man KVM über ein lokales Netzwerk, werden standardmäßig die folgenden Ports verwendet. Möchte man KVM über das Internet nutzen oder ist innerhalb des Firmen-Netzwerks NAT konfiguriert, lassen sich die Ports auch manuell anpassen bzw. ist die Konfiguration von Port Forwarding erforderlich / empfohlen.

 

Service Port (unverschlüsselte Übertragung) Port (verschlüsselte Übertragung)
KVM 7578 7582
virtual CD/ DVD - ROM 5120 5124
virtual Floppy 5123 5127

 

Sicherheit

Das in die Jahre gekommene IPMI, inzwischen bei Version 2.0 angekommen (stand 2015),  wurde zwar seit der Version 1.0 um einige Sicherheits-Features erweitert – ist aus historischen Gründen  jedoch nicht von Grund auf auf Sicherheit getrimmt und sollte daher nur von erfahrenen System-Administratoren oder dem Systemhaus des Vertrauens eingerichtet werden. So verbergen sich in den Standard-Konfigurationen vieler Server Hersteller einige Schwachstellen, wie zum Beispiel aktive Admin Zugänge mit schwachen oder einfach knackbaren Passwörtern.

 

Produkt Standard Benutzername Standard Passwort
HP Integrated Lights Out (iLO) Administrator zufälliger String aus 8 Zeichen
Dell Remote Access Card (iDRAC, DRAC) root calvin
IBM Integrated Management Module (IMM) USERID PASSW0RD (mit einer null)
Fujitsu Integrated Remote Management Controller admin admin
Supermicro IPMI (2.0) ADMIN ADMIN
Oracle/Sun Integrated Lights Out Manager (ILOM) root changeme
ASUS iKVM BMC admin admin

Neben der Verwendung von „sicheren Passwörtern“, sollte das Management-Netzwerk grundsätzlich physisch oder per VLAN vom übrigen Netzwerk getrennt werden. Soll IPMI über das Internet erreichbar sein, dann am besten hinter einem Access Gateway.

 

 

Potentielle Sicherheitsrisiken

IPMI Cipher Suite 0 / IPMI Cipher Zero Wurde der IPMI-Zugang falsch konfiguriert, ermöglicht diese Schwachstelle einen Zugang ohne Authentifizierung
BMC Universal Plug and Play (UPnP) Wird das bei manchem BMC-Lösungen enthaltene Uniersal Plug and Play aktiviert, wird der Server anfälliger für mehrere Sicherheitsrisikien.
IPMI Klartext-Speicherung von Passwörter Bestimmte BMC-Lsöungen speichern IPMI-Passwörter unter Umständen als Klartext
Get Channel Authentication Capabilities Mit diesem Befehl lassen sich - je nach Konfiguration - die Authentifizierungsmöglichkeiten des BMCs abgfragen
RAKP Hashed-Passwort Das von IPMI genutzte Protokoll zur Authentifizierung, versendet einen verschlüsselten Hash des Benutzer-Passworts an den Remote-Client. So lässt sich mit etwas Aufwand (je nach Passwort-Stärke) das Passwort offline mittels eines Brute-Force-Angriffs rekonstruieren.

 

 

Fazit

Aufgrund der Schwächen des IPMI-Standards hat jede auch noch so gute Hersteller-Seitige Umsetzung seine Schwachstellen. Wer auf IPMI verzichtet, gibt jedoch ein sehr nützliches und mächtiges Werkzeug aus der Hand. Das mag beim kleinen Büro-Server noch funktionieren, sobald die Server jedoch in einem Rechenzentrum untergebracht sind, empfiehlt sich dringend die Nutzung von IPMI. Die meisten Sicherheits-Risiken lassen sich mit einer durchdachten Konfiguration ausschalten bzw. deutlich abschwächen. Gänzliche Abhilfe schafft erst der von Dell, Emerson, Hewlett Packard und Intel entwickelte Nachfolger des IPMI-Standards „Redfish„, der zurzeit jedoch noch für keine Server-Plattform verfügbar ist (stand 2015).

 

 

Weitere Informationen / Quellen

Intelligent Server Management Using IPMI, V2.0

2 thoughts on - Die Grundlagen des Intelligent Platform Management Interface (IPMI)