Die Grundlagen des Intelligent Platform Management Interface (IPMI)

Home » Server-Hardware » Die Grundlagen des Intelligent Platform Management Interface (IPMI)
Server-Hardware, Sicherheit 2 Kommentare

Das Intelligent Platform Management Interface ( IPMI) ist eine standardisierte Schnittstelle zur Überwachung von Server-Hardware. Dabei geht die Überwachung weit über die bei Desktop-Systemen übliche Abfrage von Temperatur-  und Spannungswerten hinaus und ermöglicht mittels spezieller Controller und einer ganzen Reihe von Sensoren eine sehr detaillierte Diagnose des Systems. Eine ganze Anzahl von Sensor-Daten wird zudem zur späteren Auswertung in ein integriertes Logbuch geschrieben. Nebenbei lässt sich neben einer Reihe von weiteren Features der Server von der Ferne auch Aus- und auch wieder Einschalten.

Quelle: http://www.intel.com/content/www/us/en/server-management/intel-remote-management-module.html

Die Überwachung kann lokal, aber auch an einem entfernten Standort erfolgen. Zu diesem Zweck kann einer der „normalen“ integrierten LAN-Ports des Server-Mainboards oder aber ein per Zusatzmodul installierter, dedizierter LAN-Port verwendet werden. Die zum Jahreswechsel 2014/2015 erschienene Intel Grantley-Plattform ist bereits ab Werk mit einem für IPMI dedizierten LAN-Port ausgestattet.

Eine Besonderes, KVM genanntes (Keyboard, Video, Mouse) Feature von IPMI ist die Möglichkeit, Remote auf den Server zugreifen zu können. Dazu gehört nicht nur die Übertragung des Bildschirminhalts sowie die Fern-Steuerung mittels Tastatur und Maus über das Netzwerk oder das Internet. Auch ein lokal vorliegendes Image oder eine lokal eingelegte DVD lassen sich mounten. Mit vorkonfigurierter IPMI Schnitstelle ist bis auf eine manuelle Wartung also alles möglich, was ein Server-Techniker sonst auch vor Ort machen kann.

Dazu zählen Firmware-Updates, BIOS oder RAID-Bios Konfigurationen und die Installation eines neuen Betriebssystems.

Entwickelt wurde IPMI durch die Intelligent Platform Management Interface Initiative, bestehend aus HP, DELL, der NEC Corporation und der Intel Corporation. Da IPMI ein plattformübergreifender Standard ist, sind die darauf basierenden propriretären Ausführungen der einzelnen Hersteller (HP ILO, DELL IDRAC, Sun/Oracle ILOM und Intel RMM4) grundsätzlich kompatibel und lassen sich somit auch einheitlich überwachen (zum Beispiel mit Nagios).

 

Vorraussetzungen

 

Will man per KVM auf einen belibiegen Server zugreifen, sind ein paar geringe Vorraussetzungen zu erfüllen. Folgeden Tabelle zeigt die von Intel offiziell Unterstützten Konfigurationen. Zusätzlich zu den hier aufgeführten Betriebssystemen und Browsern ist das Java Runtime Environment ab Version 6 Update 22 erforderlich.

Server-HarwareUnterstützte Betriebssysteme (Microsoft)Unterstützte Betriebssysteme (Linux)Unterstützte Browser
E5-4600/2600/2400/1600/1400 (v1&v2)ab Microsoft Windows 7* SP1
ab Microsoft Windows Server 2008* SP2
ab SUSE* Enterprise Linux 11 SP2
ab Red Hat* Enterprise Linux 5 Update 7
ab Microsoft Internet Explorer 8.0*
Mozilla Firefox* 10 (Windows)
ab Mozilla Firefox* 3.0 (Linux)
1200V3RP und
S1200BTL
Server-Mainboards
Server-Mainboards auf Basis von E5-2600 V3

(Intel Grantley:
2600WT, S2600KP, S2600TP und S2600CW)
ab Microsoft Windows Server 2008* R2 SP1
ab Red Hat* Enterprise Linux 6.5 x64
SUSE* Enterprise Linux 11 SP3 x64
ab CentOS 6.5
ab Ubuntu 14.04
ab VMware ESXi 5.5U1
ab Microsoft Internet Explorer 9.0*
ab Mozilla Firefox 24*

 

Konfiguration

 

Ports

Nutzt man KVM über ein lokales Netzwerk, werden standardmäßig die folgenden Ports verwendet. Möchte man KVM über das Internet nutzen oder ist innerhalb des Firmen-Netzwerks NAT konfiguriert, lassen sich die Ports auch manuell anpassen bzw. ist die Konfiguration von Port Forwarding erforderlich / empfohlen.

 

ServicePort (unverschlüsselte Übertragung)Port (verschlüsselte Übertragung)
KVM75787582
virtual CD/ DVD - ROM51205124
virtual Floppy51235127

 

Sicherheit

Das in die Jahre gekommene IPMI, inzwischen bei Version 2.0 angekommen (stand 2015),  wurde zwar seit der Version 1.0 um einige Sicherheits-Features erweitert – ist aus historischen Gründen  jedoch nicht von Grund auf auf Sicherheit getrimmt und sollte daher nur von erfahrenen System-Administratoren oder dem Systemhaus des Vertrauens eingerichtet werden. So verbergen sich in den Standard-Konfigurationen vieler Server Hersteller einige Schwachstellen, wie zum Beispiel aktive Admin Zugänge mit schwachen oder einfach knackbaren Passwörtern.

 

ProduktStandard BenutzernameStandard Passwort
HP Integrated Lights Out (iLO)Administratorzufälliger String aus 8 Zeichen
Dell Remote Access Card (iDRAC, DRAC)rootcalvin
IBM Integrated Management Module (IMM)USERIDPASSW0RD (mit einer null)
Fujitsu Integrated Remote Management Controlleradminadmin
Supermicro IPMI (2.0)ADMINADMIN
Oracle/Sun Integrated Lights Out Manager (ILOM)rootchangeme
ASUS iKVM BMCadminadmin

Neben der Verwendung von „sicheren Passwörtern“, sollte das Management-Netzwerk grundsätzlich physisch oder per VLAN vom übrigen Netzwerk getrennt werden. Soll IPMI über das Internet erreichbar sein, dann am besten hinter einem Access Gateway.

 

 

Potentielle Sicherheitsrisiken

IPMI Cipher Suite 0 / IPMI Cipher ZeroWurde der IPMI-Zugang falsch konfiguriert, ermöglicht diese Schwachstelle einen Zugang ohne Authentifizierung
BMC Universal Plug and Play (UPnP)Wird das bei manchem BMC-Lösungen enthaltene Uniersal Plug and Play aktiviert, wird der Server anfälliger für mehrere Sicherheitsrisikien.
IPMI Klartext-Speicherung von PasswörterBestimmte BMC-Lsöungen speichern IPMI-Passwörter unter Umständen als Klartext
Get Channel Authentication CapabilitiesMit diesem Befehl lassen sich - je nach Konfiguration - die Authentifizierungsmöglichkeiten des BMCs abgfragen
RAKP Hashed-PasswortDas von IPMI genutzte Protokoll zur Authentifizierung, versendet einen verschlüsselten Hash des Benutzer-Passworts an den Remote-Client. So lässt sich mit etwas Aufwand (je nach Passwort-Stärke) das Passwort offline mittels eines Brute-Force-Angriffs rekonstruieren.

 

 

Fazit

Aufgrund der Schwächen des IPMI-Standards hat jede auch noch so gute Hersteller-Seitige Umsetzung seine Schwachstellen. Wer auf IPMI verzichtet, gibt jedoch ein sehr nützliches und mächtiges Werkzeug aus der Hand. Das mag beim kleinen Büro-Server noch funktionieren, sobald die Server jedoch in einem Rechenzentrum untergebracht sind, empfiehlt sich dringend die Nutzung von IPMI. Die meisten Sicherheits-Risiken lassen sich mit einer durchdachten Konfiguration ausschalten bzw. deutlich abschwächen. Gänzliche Abhilfe schafft erst der von Dell, Emerson, Hewlett Packard und Intel entwickelte Nachfolger des IPMI-Standards „Redfish„, der zurzeit jedoch noch für keine Server-Plattform verfügbar ist (stand 2015).

 

 

Weitere Informationen / Quellen

Intelligent Server Management Using IPMI, V2.0

2 thoughts on - Die Grundlagen des Intelligent Platform Management Interface (IPMI)