Quantor on järjestelmäintegraattori. IPMI, KVM-over-LAN, virtuaalinen media Supermicro-palvelimissa - ipmi-teknologian etähallinta ja valvonta

Johdanto

Useimmat Firstdedic-palvelimet on varustettu IPMI-moduulilla, mutta monet käyttäjät eivät kiinnitä huomiota tähän vaihtoehtoon.

IPMI on lyhenne sanoista Intelligent Platform Management Interface ja joka on käännetty venäjäksi "älykäs alustan hallintaliittymä".

Mikä tämä laite on? Tämä on moduuli, joka sijaitsee suoraan palvelimen sisällä, ja ylimääräinen Ethernet-liitin on käytettävissä ulkopuolella.

Jos palvelimen hallinta menetetään, on mahdollista mennä määritettyyn osoitteeseen ja kirjautumisen jälkeen suorittaa toimia ongelmien ratkaisemiseksi tai tiedon saamiseksi ilmenneestä ongelmasta.

Pohjimmiltaan tätä moduulia käytetään seuraamaan ja ohjaamaan joitain palvelinlaitteistoon sisältyviä toimintoja, kuten lämpötila-anturien, jänniteanturien, virtalähteen tilan, tuulettimen nopeuden, kirjaamisen, asennuskuvien jne. valvontaa. Huomaa, että nämä ominaisuudet ovat käytettävissä prosessorista, käyttöjärjestelmästä tai BIOSista riippumatta. Hallinta on käytettävissä, vaikka palvelin olisi pois päältä.

Valitettavasti IPMI:n käyttöoikeuden myöntämistä ei tällä hetkellä ole mahdollista automatisoida, joten pääsy voidaan saada pyynnöstä tekniseltä tuelta.

Pyynnöstä toimitetaan IP-osoite, jossa käyttöliittymä sijaitsee, sekä valtuutustiedot. Käyttöoikeus ei ole täysi, rajoitettu operaattoritason tiliin.

IPMI:tä voi käyttää joko selaimella tai IPMIView-sovelluksella. Ensimmäisessä tapauksessa tarvitset esiasennetun Javan ja selainlaajennuksen, toisessa - Windowsin tai MacOS:n tai esiasennetun Javan IPMI Viewin monikäyttöistä versiota varten.

Pääsy selaimen kautta

Valtuutuksen jälkeen avautuu pääsivu, jolla pääset käyttämään IP-KVM:ää (eräänlainen virtuaalinen näyttö, joka välittää videokuvan palvelimelta yhdistetylle asiakkaalle. Siitä voi olla hyötyä, jos verkon asennuksessa, asennuksessa tapahtuu virhe. käyttöjärjestelmässä tai kun estetään IP-osoitteita konesalin tasolla), sekä nähdä palvelimen nykyinen tila, käynnistää, sammuttaa ja laitteisto käynnistää palvelin uudelleen (Virta päälle-, Power Down- ja Reset-painikkeet vastaavasti Tehonohjaus IPMI-alueen kautta).

"Päivitä esikatselukuva" -painikkeen napsauttaminen päivittää virtuaalisen näytön esikatselun. Ja kun napsautat itse mustaa näyttöä, IP-KVM JAVA -asiakasohjelma avautuu ja pääset suoraan käyttöjärjestelmäsi käyttöliittymään näppäimistön ja hiiren avulla. Mutta jotta se toimisi, tarvitset JAVA:n ja selaimen laajennuksen

Päävalikon Palvelimen kunto -välilehdellä voit tarkastella palvelimen tilaa, saada tietoa tuulettimen nopeudesta, lämpötilasta ja jännitteestä

Pääsy työpöytäsovelluksen kautta

Selainversion lisäksi on myös työpöytäversio - IPMI View, joka on olemassa Windows-, MacOS- ja Java-versioina. Jälkimmäinen on monikäyttöinen.

Kaikki IPMI Viewin uusimmat versiot sekä dokumentaatio ovat saatavilla valmistajan viralliselta ftp-palvelimelta - ftp://ftp.supermicro.com/utility/IPMIView/.

Toisin kuin selainversio, joka ladataan ja käynnistetään vasta käytön jälkeen, IPMI View asennetaan PC:lle ja kun se toimii, se yksinkertaisesti muodostaa yhteyden vaadittuun palvelimeen.

Aluksi sinun on lisättävä kaikki palvelimesi sovellusasetuksiin käyttämällä Lisää uusi järjestelmä -painiketta (Tiedosto → Uusi → Järjestelmä).

Missä IPMI-osoitekentässä: sinun on lisättävä IP, jonka sait pyytäessäsi pääsyä IPMI:hen tekniseltä tuelta.

Yhdistääksesi IPMI-liitäntään, kun olet lisännyt sen IPMI-alueeseen, kaksoisnapsauta tallennettua järjestelmää.

Kun olet napsauttanut "Kirjaudu" -painiketta ja onnistunut valtuutuksen, alustan hallintaliittymän kirjautumisikkuna muuttuu hieman: Tiedot käytetystä IPMI-versiosta tulevat näkyviin ja välilehden alareunaan, jossa on käytettävissä olevat toiminnot.

Kun siirryt joihinkin välilehtiin, huomaat, kuinka sovellus pyytää tietoja IPMI:stä ja näyttää ne helpommin saatavilla olevassa muodossa.

Esimerkiksi Anturit-välilehti näyttää tiedot graafisessa muodossa, mikä on hieman visuaalisempaa kuin vain numeroita, kuten selainversiossa.

IPM Device (IPM-laite) -välilehti tarjoaa pääsyn tietojen hankkimiseen palvelimen tilasta ja sen hallinnasta: sammuttaminen, käynnistäminen, uudelleenkäynnistys ja nollaus (vastaavasti Power Down, Power Up, Power Cycle, Reset).

Sulje nykyinen istunto ja katkaise IPMI-yhteys valitsemalla valikosta Session → Close .

Kustantaja: sivusto toimii, tammikuuta 05, 2015

Internet-palvelimet ovat minkä tahansa yrityksen online-näkyvyyden "selkäranka". Sen varmistaminen, että ne pysyvät täysin toimintakunnossa, on erittäin tärkeää verkkosivuston käytettävyyden ja toimivuuden ylläpitämiseksi. Nykyinen palvelinasennuksen valvonta- ja hallintastandardi tunnetaan nimellä Intelligent Platform Management Interface ja siitä käytetään yleisesti nimitystä IPMI.

Mikä on IPMI?

Yleisesti ottaen IPMI on laitteistojärjestelmän standardisoitu spesifikaatiosarja, jonka avulla web-isäntä tai datakeskus voi keskitetysti valvoa ja ohjata kaikkia hallinnoimiaan palvelimia. Sen kehitti alun perin Intel Hewlett Packardin, Dellin ja NEC:n tuella, ja nyt suurin osa teollisuudesta tukee sitä.

IPMI toimii rinnakkain kahden muun vakiomäärityssarjan, IPMB (Intelligent Platform Management Bus) ja ICMB (Intelligent Chassis Management Bus) kanssa, jotka hoitavat hallintatoiminnot tietokoneen sisällä ja hallittavien koneiden välillä. Viestintä hoidetaan yleensä suoran kaistan ulkopuolisen lähiverkon kautta, mutta on myös mahdollista käyttää sivukaistaverkkoa NIC-kortin kautta, mikä on halvempi tapa.

Suurin osa palvelimen laitteiston toiminnan avaintekijöistä voidaan valvoa IPMI:n avulla, mukaan lukien virtalähteen kunto, rungon turvallisuus ja tuulettimet. Se seuraa myös tehotasoja, lämpötilaa ja muita tärkeitä ympäristötekijöitä. Lisäksi käyttöliittymä voi tarkistaa kunkin koneen laitteistolokit, vastaanottaa ennalta määritettyjä hälytyksiä ja lähettää viestejä palvelimelle uudelleenkäynnistystä tai sammutusta varten. Se mahdollistaa jopa BIOS-asetusten etäsäädön.

IPMI-järjestelmän etuosa on erittäin käyttäjäystävällinen. Näppäimistö, hiiri ja videopääsy yksittäisiin palvelimiin toimivat samalla tavalla kuin koneen parissa työskentelevä insinööri tai teknikko. Jos palvelin ei ole käytettävissä, virhe näkyy selkeästi valvontakonsolissa ja käyttäjä voi kirjautua suoraan IPMI:stä muuttaakseen tiettyjä verkkoasetuksia.

Palvelinkeskukset käyttävät usein IPMI:n muokattua ja yksinkertaistettua varianttia, joka tunnetaan nimellä DCMI (Data Center Management Interface), koska se sisältää joitakin niiden järjestelmille tärkeitä toimintoja (kuten palvelimen virrankatkaisua) ja eliminoi toiset tarpeettomat. tarkoituksiinsa.

IPMI:n edut

On monia syitä, miksi IPMI on parempi kuin perinteisempi ohjelmisto, jota käytetään palvelinjärjestelmän diagnosointiin. Useimmat niistä perustuvat siihen tosiasiaan, että IPMI pystyy hallitsemaan koneita useissa fyysisissä paikoissa ja että se pystyy valvomaan koneita "ulkopuolelta" eikä "sisältä"; eli se on laiteohjelmisto, joka toimii koneen emolevyllä, eikä se ole riippuvainen koneen käyttöjärjestelmästä. Tärkeimmät edut:

• "Agenttiton" hallinta etätoiminnallisuudella: palvelimen käyttöjärjestelmässä ei tarvita hallintaagentteja, ja koneet voidaan käynnistää uudelleen ja hallita paikan päällä.
• Tietokoneen tilasta riippumaton palautus: IPMI voi antaa komentoja hallittaville koneille riippumatta siitä, ovatko ne päällä vai eivät, kunhan ne ovat kytkettyinä.
• Toimivuus ennen käynnistystä tai käyttöjärjestelmän vian jälkeen: IPMI pystyy helpottamaan BIOSin tai muiden asetusten säätämistä käyttöjärjestelmän tilasta riippumatta, toisin kuin perinteiset menetelmät, jotka vaativat käyttöjärjestelmän pääsyn tai SSH-kirjautumisen.
• Ennakoiva valvonta: palvelimen kuntoa valvotaan jatkuvasti, jotta mahdollisista järjestelmävioista voidaan varoittaa etukäteen.
• Ennakkodiagnoosi: IPMI mahdollistaa usein järjestelmäongelmien diagnosoinnin ennen korjausten aloittamista, mikä säästää aikaa ja rahaa varsinkin jos kone on muualla.
• Yksinkertainen käyttö: ohjaus on keskitetty, joten järjestelmän kokoonpanomuutoksia tai virran kytkemistä/katkaisua voidaan käsitellä näytöllä, näppäimistöllä ja hiirellä.
• Yleisesti tuettu: Lähes kaikki laitteistotoimittajat tukevat IPMI:tä, ja se sisältyy usein palvelimen ostohintaan.

IPMI:n haitat

IPMI:ssä on vain muutamia suuria haittoja, ja lähes kaikissa tapauksissa ne ovat paljon suuremmat kuin hyödyt.

• Alkukokoonpano voi joskus vaatia useita yrityksiä, vaikka verkkoasetusten tyhjentäminen BIOSin kautta voi yleensä ratkaista ongelman.
• Verkko voi epäonnistua emolevyn porttien vaihtamisen tai IPMI-korjausten asentamisen jälkeen. Nämä ongelmat ovat yleensä helposti ratkaistavissa käynnistämällä uudelleen; toisinaan uudelleenkonfigurointi on tarpeen.
• Jotkut analyytikot väittävät, että IPMI ei ole niin turvallinen järjestelmä kuin se voisi olla. He uskovat, että suunnittelun heikkoudet protokollissa ja kokoonpanoissa tekevät IPMI-asennuksista haavoittuvia hyökkäyksille tai kompromisseille korjauksista huolimatta.

Näistä muutamista ongelmista huolimatta datakeskukset ja web-isännät ovat käyttäneet IPMI:tä lähes yleisesti tehokkaimpana ja taloudellisimpana tapana seurata ja hallita verkkojaan.

Suurimmalla osalla nykyaikaisista palvelimista on IPMI/BMC-liitäntä palvelimen etähallintaa varten. Tämä työkalu tarjoaa pääsyn virtuaaliseen näppäimistöön ja palvelinnäyttöön TCP/IP-protokollan kautta. Tänään käsittelemme IPMI-tietoturvatutkimuksen historiaa, tarkastelemme vektoreita hyökkäysten toteuttamiseen ja niiden jatkokehitystä IPMI:n avulla.

IPMI on joukko määritelmiä, jotka säätelevät, kuinka viestiä ja mitä tarjotaan.
Kaikki toimittajat yrittävät noudattaa näitä eritelmiä.
Laivasto on IPMI-toiminnan laitteistokääre. Se on yksilevyinen tietokone (järjestelmä sirulla), jonka pääantureissa on lonkerot. Jokainen myyjä valitsee, millaista laitteistoa käyttää ja miten se yhdistetään, mikä on luonnollista. Harkitsemme kaikkia esimerkkejämme käyttämällä Hewlett-Packardin (HP) integroitua Lights Outia (iLO). HP iLO on vain BMC/IPMI-yhdistelmä. Muilla toimittajilla on omat nimensä, toteutukset laitteistoissa ja ohjelmistoissa. Mutta yleensä se on yksilevyinen tietokone, jossa on ARM-prosessori ja Linux.
Tällaisten laitteiden päätehtävä on tehdä järjestelmänvalvojien elämästä yksinkertaisempaa ja mukavampaa: sinun ei tarvitse juosta palvelimelle ja painaa Reset-painiketta / asentaa uusi järjestelmä / nähdä, miksi se ei lataudu. Nyt voit muodostaa yhteyden IPMl/BMC:hen ja tehdä kaiken tämän etänä. Lisäksi on mahdollista vastaanottaa tietoa erilaisista lämpötila-antureista,
jännite ja niin edelleen, mikä on myös varsin kätevää.

HALLINTA

Ohjausrajapintoja on useita:
- verkkokäyttöliittymä (riippuen toimittajasta);
- IPMI LAN:n kautta (UDP 623);
- palvelimelle asennetusta järjestelmästä (edellyttäen, että valmistajan ohjaimet on asennettu). Käytetty ohjelmisto: WMI Windowsille, OpenlPMI, IPMltool Linuxille.

Verkkokäyttöliittymässä kaikki on selvää. Jokainen myyjä päättää itse, miltä se näyttää ja miten se toteutetaan. Toinen ja kolmas rajapinta ovat samanlaiset, mutta lähetysväline on erilainen. IPMI over LAN, kuten saatat arvata, komennot lähetetään verkon kautta UDP-porttiin 623. Asennetusta järjestelmästä IPMI-komennot lähetetään laitetiedoston kautta, yleensä /dev/ipm iO, joka tulee näkyviin asennuksen jälkeen. kuski. Standardi apuohjelma vuorovaikutukseen IPMI:n kanssa on IPMltool GNU/Linuxille, koska se on helpoin käyttää.

MITÄ PENTESTER IPMl/BMC

Huolimatta siitä, että raportti IPMl/BMC-haavoittuvuuksista julkaistiin kesällä 2013, haavoittuvia järjestelmiä on tällä hetkellä jäljellä. Hyvin usein minkä tahansa raidan IPMl/BMC löytyy hakukoneen kautta. Tällaisia ​​järjestelmiä ei tietenkään pidä pitää ulkona. Niitä kohdataan pääasiassa sisäisten pentestien aikana. Yksi yksinkertaisimmista tällaisia ​​järjestelmiä käyttävistä hyökkäysvektoreista on palvelimen "kaappaus" IPMI/BMC:n avulla.

Saatuasi järjestelmänvalvojan käyttöoikeudet IPMl/BMC:hen (kuten alla näytetään, tämä ei ole ollenkaan vaikeaa), voit muodostaa yhteyden VirtualConsolen (alias KVM) kautta ja esimerkiksi nollata pääkäyttäjän salasanan tai käyttää LiveCD:tä tyhjentääksesi hashin ja paikallisen käyttäjiä, jos se on Windows. Kun onnentaitosi on tasoittunut, voit jopa napata konsolin, josta root unohti kirjautua ulos (tätä tapahtuu hyvin usein virtuaalikoneissa). IPMI:tä puolestaan ​​voidaan käyttää myös mahdollisuutena saada takaisin pääsy palvelimeen järjestelmän täydellisen uudelleenasennuksen jälkeen.
Pääsy IPMI/BMC:hen käyttöjärjestelmällä maksimioikeuksin on mahdollista ilman salasanaa, eli valtuutusta ei tarvita ollenkaan. Tässä tapauksessa hyökkääjä yksinkertaisesti luo järjestelmänvalvojan IPMl/BMC-tilin. Jos hän menettää pääsyn palvelimeen, hän menee IPMl/BMC:hen ja palauttaa rehellisesti ansaitsemansa tavarat. Yleisesti ottaen IPMl/BMC:n ja päätietokoneen välistä yhteyttä ei ole vielä perusteellisesti tutkittu. Tämä on kyntämätön kenttä virheiden ja ominaisuuksien etsimiseen. Kun otetaan huomioon niiden toimittajien määrä, jotka ottavat tämän käyttöön palvelimilleen, voimme puhua "rikkaasta sisäisestä maailmasta".

JULKINEN TUTKIMUS

Dan Farmer kiinnitti ensimmäisenä huomion IPMI:n ja IUD:n turvallisuuteen. Hänen täydellisen raportinsa, osuvasti otsikolla Freight Train to Hell. Tarkastelemme mielenkiintoisimpia kohtia hakkeroinnin näkökulmasta.
Danin tutkimuksen perusteella IPMl/BMC-haavoittuvuudet voidaan jakaa kahteen laajaan luokkaan:

· valmistajien mukautetut bugit (esimerkiksi verkkokäyttöliittymän haavoittuvuudet);
· IPMI-protokollan haavoittuvuudet.

Itse asiassa Dan kaivoi esiin paljon mielenkiintoisia asioita, lisää siitä alla.

NULL-todennus

Kuvaus
Haavoittuvuuden avulla voit ohittaa todennuksen. Esiintyy vain IPMI 1.5:ssä. Käyttö mahdollistaa laitteen hallinnan yksinkertaisesti aktivoimalla todennuksen poistamisen käytöstä. Oikeudet vaihtelevat toimittajien välillä, mutta ovat yleensä enimmäismääriä.

Myyjät
- HP
- Dell
- Supermikro.

ehdot
Avaa portti UDP 623, IPMI 1.5, olemassa olevan käyttäjän kirjautuminen.

Ipmtiool -A EI MITÄÄN -H targetIP bmc opas

IPMI-todennuksen ohitus salauksen 0 kautta

Kuvaus
Haavoittuvuuden avulla voit ohittaa todennuksen. Virhe ilmestyi IPM-versiossa I
2.0. Tässä versiossa päätimme lisätä salauksen. Toimiaksesi tarvitset
tietää voimassa olevan tilin kirjautumistunnuksen, mutta salasanaa ei tarvitse tietää -
voit määrittää minkä tahansa.

Myyjät
- HP
- Dell
- Supermikro.

ehdot

Avaa portti UDP 623, IPMI 2.0, olemassa olevan käyttäjän kirjautuminen.

Metasploit - apu/skanneri/ipmi/ipmi_cipher_zero ipmitool -I lanplus -C 0 -H targetIP -u Järjestelmänvalvoja -P mikä tahansa salasana tässä käyttäjäluettelo

IPMI 2.0 RAKP Authentication Remote Password Hash Retrieval

Kuvaus
Haavoittuvuuden ansiosta luvaton käyttäjä voi hankkia tiivistettyjä salasanoja myöhempää raakaa voimaa varten. Virhe ilmestyi IPMI-määritysversiossa 2.0

Myyjät
- HP
- Dell;
- Supermikro.

EHDOT

Avaa portti UDP 623, IPMI 2.0 ja kelvolliset käyttäjätunnukset.

Metasploit - auxiliary/scanner/ipmi/ipmi_dumphashes http://fish2.com/ipmi/tools/rak-the-ripper.pl

IPMI Anonymous Authentication / Null user

Kuvaus
Jotkut kutsuvat sitä nollakäyttäjäksi, toiset kutsuvat sitä nimettömäksi todentamiseksi. Jotkut jakavat nämä kaksi haavoittuvuutta, toiset eivät. Oletuksena on null user/anonymous - "" (tyhjä merkkijono). Jos he sanovat null user, hänen salasanansa on myös tyhjä. Jos he sanovat anonyymin todennuksen, hänen passinsa on admin ja kaikki IPMI-sirut ovat ATEN-ohjelmiston vika.
Dan pitää tutkimuksessaan näitä kahta erilaista haavoittuvuutta. Ja Rapid7:n dokumentissa ei ole enää sanaakaan null-käyttäjästä.

Myyjät:

HP
Dell
Supermicro (käytä IPMI-siruja ATEN-ohjelmiston kanssa).

ehdot

Avaa UDP-portti 623.

Metasploit - auxiliary/scanner/ipmi/ipmi_dumphashes ipmitool -I lanplus -H targetIP -U "" -P "" käyttäjäluettelo

Supermicro IPMI UPnP -haavoittuvuus

Kuvaus
Supermicrolla on UPnP SSDP -palvelu UDP-portissa 1900. Se on alttiina puskurin ylivuodolle.

Myyjät
Supermicro.

ehdot
Avaa portti 1900.

Metasploit exploit/multi/upnp/libupnp _ssdp_overflow metasploit auxiliary/scanner/upnp/ssdp_msearch

Supermicro IPMI -selkeät salasanat

Kuvaus
IPMI 2.0 -spesifikaatio tarkoittaa, että selväkieliset salasanat on tallennettava jonnekin. Supermicrossa ne sijaitsevat /nv/PSBlock- tai /nv/PSStore-tiedostoissa laiteohjelmistosta riippuen.
Lisäksi Nuvoton WPCM450:n Navy-toteutuksissa TCP-portissa 49152 on palvelu, jonka avulla voit lukea /nv-hakemiston tiedostojen sisällön, esimerkiksi PSBlock, server.pem ja niin edelleen.

Myyjät
· Supermicro.

ehdot
Shell pääsy

Cat /nv/PSBlock echo (GET /PSBlock" 1 nc targetIP 49152

Mitä tulee haavoittuvuuksiin "NULL-todennus / IPMI-todennuksen ohitus salaus O:n kautta", "IPMI 2.0 RAKP Authentication Remote Password Hash Retrieval", "IPMI Anonymous Authentication" - kaikki tämä on kirjoitettu IPMI-määrityksessä.
Tutkijat ovat tutkineet sitä perusteellisesti, keskittyen todennus- ja salausmekanismeihin. Supermicro-laiteohjelmiston UPnP-palvelun mielivaltaisen koodin suorittamisen haavoittuvuus (Supermicro IPMI UPnP Vulnerability) viittaa CVE-2012-5958:aan (BoF in libupnp). Loput käsittelemistämme haavoittuvuuksista löydettiin analysoimalla Supermicro X9 -emolevyjen Supermicro-laiteohjelmistoa, ja painopiste oli nimenomaan verkosta vastaavan koodin analysoinnissa.

HANDS-ON LAB

Katsotaanpa standardimallia IPMI-haavoittuvuuksien hyödyntämiseksi.
Voit skannata verkon kehää käyttämällä ipmi_version-moduulia, joka on saatavilla tunnetussa Metasploit-kehyksessä. Jos olet jo sisäisessä segmentissä, etkä voi asentaa/käyttää Metasploitia, voit pärjätä yksinkertaisella ipmiping- tai rmcpping-apuohjelmalla.
Kun olet löytänyt avoimet IPMI:t, sinun tulee ensin tarkistaa ne "Authentication Bypass via Cipher O" -haavoittuvuus (katso yllä). Jos se on olemassa, voit tehdä ilman käyttäjän hajautusten poistamista ja yksinkertaisesti nollata järjestelmänvalvojan salasanan tai lisätä omasi. Tärkeää: tämän haavoittuvuuden hyödyntämiseksi sinun on tunnettava tilin lokit, meidän tapauksessamme tilillä on oltava järjestelmänvalvojan oikeudet. Tarkastellaanpa ensin käyttäjän hash-vedosta ja sitä seuraavaa raakaa voimaa.

Metasploit-moduulin käyttäminen ipmi_dumphashes meillä on kyky kerätä käyttäjätiivisteitä. Tärkeää: ilman käyttäjän kirjautumistunnusta ei ole mahdollista saada hänen hashiaan. Vaihtoehtoissa ipmi_dumphashes voit määrittää tiedoston polun sisäänkirjautumisilla, esimerkiksi jos järjestelmänvalvojat ovat luoneet itselleen tilit. Oletustiedosto sisältää kaikkien toimittajien oletuskirjautumistunnukset. Brute hash on tuettu oclHashcat, ja John the Viiltäjä jumbo-korjaukset (yhteisöpainos). John tulisi ottaa Githubista, koska virallisella verkkosivustolla on vanhentunut versio ilman tarvitsemamme muodon tukea. Uusin versio oclHashcat, tällä hetkellä 1.30, tukee kaikkea valmiina.

Jos sinulla on HP ilO4:n hash käsissäsi, olet onnekas. Tosiasia on, että kun se on määritetty tehtaalla, järjestelmänvalvojan tilin oletussalasana on kahdeksan merkkiä pitkä - isot kirjaimet + numero. Vaatimattomilla resursseillani tällaisen arvon etsiminen kestää noin puoli tuntia.

Jos on haavoittuvuus salaus Tietoja Voit tehdä ilman raakoja tiivisteitä ja nollata salasanasi. Tätä varten tarvitsemme IPMitool-apuohjelman. Rakentaminen GNU/Linuxille ei herätä kysymyksiä. Mutta Windowsin alla sinun täytyy tanssia tamburiinin kanssa Cygwin. Toimintojärjestys järjestelmänvalvojan lisäämiseksi on seuraava:

1. Tarkastelemme paikalla olevia käyttäjiä ja käytämme seuraavaa ilmaista tunnusta.

Ipmitool -I lanplus -с 0 -H 1.1.1.1 -U Administrator -Р mikä tahansa salasana tässä käyttäjäluettelo

2. Aseta käyttäjätunnuksemme.

Ipmitool -I lanplus -С 0 -Н 1.1.1.1 -U Järjestelmänvalvoja -P mikä tahansa salasana tässä käyttäjäjoukon nimi hakkeri

3. Aseta sille salasana.

Ipmitool -I lanplus -С 0 -Н 1.1.1.1 -U Järjestelmänvalvoja -P mikä tahansa salasanatässä käyttäjän asettama salasana hakkeripassi

4. Tee hänestä järjestelmänvalvoja.

Ipmitool -I lanplus -С 0 -Н 1.1.1.1 -U Järjestelmänvalvoja -Р anypasswordthere user priv 4

5. Aktivoi äskettäin luotu tili.

Ipmitool -I lanplus -C 0 -H 1.1.1.1 -U järjestelmänvalvoja -P mikä tahansa salasanatässä käyttäjä käytössä

Kun tiivisteet on murrettu, salasanat nollattu tai uusi järjestelmänvalvoja on lisätty, sinulla on mahdollisuus kirjautua sisään verkkoliittymän kautta, SSH:n kautta SMASHiin tai muodostaa yhteys etätyöpöytään, a la KVM:ään.
KVM-kytkin on erityisen arvokas, koska se tarjoaa pääsyn suoraan itse konsoliin, jolloin voit käyttää BIOSia, asentaa käyttöjärjestelmän ja muita vastaavia. Jokainen toimittaja on vastuussa KVM-kytkimen käyttöönotosta. Esimerkiksi HP:ssa
ilO4 käyttää tähän TCP-portteja 17988 ja 17990. Dell iDRAC7 käyttää TCP-porttia 5900. Cisco ICM TCP-portti 2068.

On syytä mainita sellainen asia kuin HP BladeSystem Onboard Administrator. HP BladeSystem on kotelo, johon blade-palvelimet on kytketty. Joten tämän kotelon avulla voit hallita keskitetysti korttipalvelimia IPMI:n avulla. Tässä tapauksessa "Slave" IPMI:n valtuutus tapahtuu SSO-mekanismin avulla. Sinun tarvitsee vain hankkia järjestelmänvalvojan oikeudet omaavan käyttäjän hash ja käyttää verkkokäyttöliittymää yhteyden muodostamiseen sinua kiinnostavaan palvelimeen.

Toinen mielenkiintoinen ominaisuus, joka löytyy HP il04:stä, on kyky muodostaa yhteys palvelimeen KVM:n kautta suoraan SMASH:sta (lue: SSH) TEXTCONS-komennolla. Tämä on varsin hyödyllistä, kun portit 80, 443, 17990 ovat kiinni Tarvitset järjestelmänvalvojan oikeudet tehdäksesi tämän, mutta ketä kiinnostaa?
Ylläpitäjäksi tuleminen ei ole niin vaikeaa. Henkilökohtaisesti sinulle, lukija, olen valmistellut ipmicd-ohjelman C:ssä Windows/Linuxille. Sen avulla voit skannata useita osoitteita IPMl/BMC:n esiintymisen varalta sekä tyhjentää tiivisteitä (analogisesti kuin Metasploitin ipmi_dumphashes). Ohjelmat on luotu tilanteisiin, joissa Metasploitin käyttö ei ole paras idea, esimerkiksi IPMl/BMC:t sijaitsevat jossain kaukana, missä Metasploitia ei voi lähettää eteenpäin.

Apuohjelma on saatavilla GitHubista. Erittäin helppokäyttöinen:

1. Parametria -p käytetään, kun on tarpeen tarkistaa tietty alue.
2. Parametri -d määrittää, hankitaanko tiivistetty salasana.
3. Parametri -v N ilmaisee kirjaamisen asteen käytön aikana, 0...5. Kun N = 1, ohjelma tuottaa sormenjälkiä.

Yhdistämällä erilaisia ​​parametreja voit vaikuttaa ohjelman toimintaan. Esimerkiksi käytettäessä valitsimia -d ja -p yhdessä, ohjelma yrittää saada tiivisteitä vain niistä järjestelmistä, jotka vastaavat IPMl-ping-kutsuihin. Käytettäessä vain vaihtoehtoa -d, se yrittää saada tiivisteet kaikista osoitteista, mikä on yleensä uskomattoman hidasta. Jos jokin on epäselvä, voit käyttää -v 5 -vaihtoehtoa - ohjelma näyttää vastaanotetut viestit kätevässä muodossa. Kääntääksesi Linuxin alla, tarvitset vain GCC - gcc ipmicd.c -static -o ipmicd. Jos käytät Windowsissa, käännä käyttämällä MinGW:tä gcc ipmicd.c -mno-ms-bitfields -lws2_32 -DMINGW.

PÄÄTELMÄ

Muutama sana korkeasta: eri IPMl/BMC-toimittajien ominaisuuksien ja toteutusten tutkiminen on vasta alkamassa. Tämä voi sisältää verkkorajapintojen tai SMASH-ohjelman lisäksi myös käyttöjärjestelmien ohjaimia, joiden avulla voit olla vuorovaikutuksessa IPMI/BMC-palvelimen etäohjauksen teknologioiden kanssa asennetusta järjestelmästä. Sisäiset palvelut, jotka toteuttavat tiedonvaihdon IPMl/BMC:ssä. Jopa itse laivaston "laitteisto"-toteutus ja kuinka se tarkalleen ohjaa pääpalvelinta, voidaan kohdistaa. Suosittelen, että järjestelmänvalvojat tarkistavat kaikki järjestelmänsä julkisten haavoittuvuuksien varalta ja mahdollisuuksien mukaan poistavat nämä haavoittuvuudet. Tärkein suositus, jonka haluan antaa lukijalle, on kiinnittää mahdollisimman paljon huomiota ohjaamiesi laitteiden asetuksiin.

Usein kysyttyjä kysymyksiä IPMI:stä Supermicro-emolevyissä: miksi sitä tarvitaan, ominaisuudet, visuaalinen esittely, sudenkuopat.

1) Suosituin myytti KVM-over-LANista on, että sitä "ei tarvita". Jostain syystä monet ihmiset sekoittavat sen tavalliseen etäkäyttöön teksti-/graafiseen käyttöjärjestelmäkonsoliin, ts. "Miksi tarvitsemme KVM-over-LAN-yhteyttä, jos meillä on SSH, VNC, RDP ja Radmin?"
Ero on perustavanlaatuinen: KVM-over-LAN ei ole vain pääsyä käyttöjärjestelmäkonsoliin, se ei riipu millään tavalla käyttöjärjestelmästä, se on pääsy itse palvelimen konsoliin (eikä vain konsoliin, tiedot olla alla), ts. voimme esimerkiksi: mennä emolevyn tai lisälaitteen BIOSiin. ohjain, asenna käyttöjärjestelmä, määritä anturin valvonta (mikä taas on erittäin tärkeää - käyttöjärjestelmästä riippumaton) SNMP:n kautta jne.
2) Kuinka se toimii? Se toimii yksinkertaisesti, tässä on lohkokaavio (Supermicro on viime aikoina käyttänyt pääsääntöisesti Winbond tai Nuvoton WPCM450:tä:

Kaiken työn suorittaa BMC (Baseboard management controller) -prosessori - sillä on oma muisti ja erikoistunut käyttöjärjestelmä (yleensä Linux-pohjainen). BMC käyttää USB-väylää virtuaalisen näppäimistön, hiiren ja CD/DVD/FDD-asemien yhdistämiseen. Muiden väylien kautta kerätään lukemat tuulettimen pyörimisantureista, lämpötila-antureista, virranhallinnasta ja pääsystä COM-porttiin (sarjakonsolin etäkäyttöä varten). BMC harjoittaa myös videopuskurin sisällön kaappausta ja uudelleenohjausta - nykyaikaisissa BMC:issä on jo kerran, ensimmäisissä toteutuksissa, analogisen signaalin digitalisoiminen erillisestä VGA-ohjaimesta. Tiedonvaihto "ulkomaailman" kanssa tapahtuu ethernetin kautta (omistettu portti tai jokin emolevyn ethernet-ohjaimen porteista).
Itse asiassa Supermicro-tuotteiden WPCM450 on järjestelmä, joka perustuu ARM 926EJ-S -prosessoriin, joka käyttää Linux-käyttöjärjestelmää 2.6-ytimessä.

Diagnostiikkaa varten voit kirjautua sisään SSH:n kautta, jossa busybox odottaa sinua.

3) Paljonko se maksaa?
Supermicro integroi tällä hetkellä IPMI BMC:tä suoraan emolevyihin. Aiemmin käytettiin lisämoduuleja (esimerkiksi AOC-SIMSO+). IPMI BMC:n läsnäolo Supermicro-kortilla osoitetaan kirjaimella F, esimerkiksi: X8DTi ja X8DTi-F, ja hintaero ei ylitä 50 dollaria, mikä on jo ilmeinen vastaus kysymykseen "onko se tarpeen vai ei, ", koska ulkoinen IP-KVM maksaa sinulle paljon enemmän. Tavallisen KVM:n asentaminen ja aina kun joudut asentamaan tai päivittämään jotain, palvelinhuoneeseen meneminen ei myöskään ole vaihtoehto, se on ajanhukkaa, koska palvelimesi voi sijaita kymmenien tai satojen kilometrien päässä, ja lopulta , se on vain epämukavaa.
4) Miltä tämä näyttää käytännössä?
IPMI:tä voidaan käyttää joko IPMIView:n (Javan erikoisapuohjelma, Windowsille ja Linuxille on kokoonpanoja) tai tavallisen selaimen kautta (kun se on liitetty graafiseen konsoliin, käynnistyy ylimääräinen java-sovellus).
Katsotaanpa IPMIView'ta. Aluksi voit määrittää IPMI ethernet -portin BIOSissa: oletus on DHCP, mutta voit asettaa manuaalisesti vaaditun IP/maskin/yhdyskäytävän, VLAN-tunnisteen (kaikki stung-hallinta on parempi erottaa erilliseen aliverkkoon syistä turvallisuus ja mukavuus).
Käynnistämme IPMIView'n ja löydämme tarvittavan palvelimen (voit skannata IPMI:n olemassaolon useista osoitteista), oletuskirjautumistunnus/salasana on ADMIN/ADMIN.

• Suloinen sammutus- Virtapainikkeen nopea painallus simuloidaan, jotta käyttöjärjestelmä voi sammuttaa virran oikein itsestään.
• Voimapyörä- Tämä on Graceful-sammutus, jota seuraa virta päälle
• Nollaa Ja Käynnistää puhuvat puolestaan
• Virta pois- Kova sammutus painamalla pitkään virtapainiketta

Voit seurata palvelimen tilaa välilehdellä Anturit(näet lämpötila- ja tuuletinanturien lukemat vain, kun palvelin on päällä):

Verkkoasetuksia voidaan tarvittaessa muuttaa BMC-asetukset-välilehdellä (muista, että voit vahingossa menettää etäyhteyden palvelimeen). Muuten, etäkäytöstä: käytetään seuraavia portteja (ne on välitettävä edelleen NAT:n kautta tai tarjottava tapa päästä hallintaverkkoon esimerkiksi VPN:n kautta):
TCP:

• HTTP: 80
• HTTPS: 443
• 5901 - tarvitaan grafiikkakonsoliin
• 5900 - HID, virtuaalinen näppäimistö/hiiriliikenne
• 5120 - virtuaalinen CD/DVD-asemaliikenne
• 5123 - virtuaalinen FDD-liikenne

UDP:

• IPMI: 623

Välilehdellä KVM-konsoli näet hyödyllisimmän asian - graafisen palvelinkonsolin. Siellä on myös painikkeita kuvakaappauksen ottamiseksi, virtuaalisen median (Virtual Media) hallintaan, koko näytön tilaan siirtymiseen ja ylimääräinen pehmeä näppäimistö. Miksi sitä tarvitaan, jos siellä on laitteistohuone? Eri näppäinyhdistelmille, joita ei jostain syystä voida lähettää palvelimelle laitteistonäppäimistöltä, esimerkiksi klassinen Ctrl+Alt+Delete.

Tässä on muutamia ominaisuuksia:

1. Jos sinulla on LSI-ohjain, olet perehtynyt hiirisuuntautuneeseen LSI Webbios -käyttöliittymään. Joten: Webbiosissa IPMI:n kautta oleva hiiri ei toimi nykyaikaisissa Supermicro-korteissa, tämä johtuu siitä, että Webbios on suunniteltu PS/2-hiirelle ja IPMI emuloi USB-hiirtä. Supermicro teknisen tuen UKK-osiossa käsitellään tätä ongelmaa, mutta suositukset eivät auta. Sinun on käytettävä vain näppäimistöä, mikä ei ole kovin kätevää, koska... Kaikkia kohteita ei voi navigoida sarkaimella - tarvitset yhdistelmiä Alt-näppäimellä, joita voidaan käsitellä vain pehmeän näppäimistön kautta.
2. 
   Asettelujen vaihtaminen WinPE 3.0:ssa ei toimi. Joten rakenna WinPE englanninkielisellä asettelulla. Tätä varten sinun on lisättävä seuraava komento rakennusskriptiin Wim-kuvan asentamisen jälkeen:
   Dism /image:C:\winpe64\mount /Set-InputLocale:1033:00000409 "C:\winpe64\mount" - kuvan liitoskohta.
   Halutessasi voit vaihtaa maa- ja käyttöliittymän kielen samanaikaisesti - katso WinPE:n dokumentaatio.
3. Muuta kuin Windows-käyttöjärjestelmässä kohdistimen synkronointitila absoluuttisesta suhteelliseksi.

Ja viimeinen kappale on virtuaalisen median käyttö.

Voit joko ohjata paikallisen aseman uudelleen tai yhdistää kuvan, mikä on paljon kätevämpää. Laite saattaa vaatia uudelleenkäynnistyksen, jotta se näkyy BIOS-käynnistysvalikossa.
P.S. Kuinka nollata IPMI-salasana? Käytä vain konsoliapuohjelmaa ipmicfg. Saatavana DOS-, Windows- ja Linux-versioina. Komenton ipmicfg -fd suorittaminen nollaa kaikki asetukset ja asettaa järjestelmänvalvojan oikeudet omaavan käyttäjän kirjautumistunnukseksi/salasanan tavalliseksi ADMIN/ADMIN.
Päivitys 18.4.2010 alkaen. Jossain vaiheessa, seuraavan Java-päivityksen jälkeen, yritys liittää iso-kuva IPMIView'ssa alkoi kaatua (Windows 7 64-bittinen uusimmilla päivityksillä Uusi IPMIView-julkaisu julkaistiin (koontiversio 110412, päivätty 12. huhtikuuta). En ole vielä tarkistanut, onko tämä virhe korjattu siellä, koska voit käyttää konsolin käynnistämistä verkkokäyttöliittymän kautta.

Siirry välilehdelle Kaukosäädin, klikkaus Käynnistä konsoli ja saat sen erilliseen ikkunaan Uudelleenohjauksen katseluohjelma, toiminnaltaan samanlainen kuin IPMIView-konsoli. On syytä lisätä, että verkkokäyttöliittymä ei helpota pääsyä konsoliin ulkoisesta verkosta - Uudelleenohjauksen katseluohjelma- tämä ei ole Java-sovelma, vaan erillinen Java-sovellus ja käyttää samoja portteja video-, HID- ja virtuaaliasemaliikenteeseen: 5900, 5901, 5120, 5123.
P.S. 01.12.2011 alkaen. Lisäartikkeli: FreeIPMI.
P.S. 06.10.2013 alkaen. Samanlaisia.
P.S. 11.10.2013 alkaen.
P.S. päivätty 20. kesäkuuta 2014. Taas.

Kaikki tarjoamamme palvelimet on varustettu IPMI (Intelligent Platform Management Interface) -ohjaimella, jonka avulla voit ottaa käyttöön, poistaa käytöstä etäyhteyden (KVM), jolla on mahdollisuus liittää ISO-kuvia, ja tarjoaa myös pääsyn tietoihin nykyisestä tilasta. palvelimelta.

IPMI:n avulla voit asentaa käyttöjärjestelmän ja palvelimen alustavan kokoonpanon sen jälkeen, kun palvelin on julkaistu. Koska IPMI-ohjain on kytketty erillisellä kaapelilla ja sillä on oma IP-osoite, voit aina hallita palvelinta etänä ilman suoraa fyysistä pääsyä, vaikka menetät käyttöjärjestelmän.

Kuinka asentaa käyttöjärjestelmä?

Käyttöjärjestelmän asentamiseksi sinun on muodostettava yhteys IPMI-palvelimeen jollakin sinulle sopivalla tavalla: Web-käyttöliittymän kautta tai käyttämällä IPMIView-ohjelmaa. Artikkelissa kuvataan molemmat vaihtoehdot, mutta suosittelemme toisen menetelmän käyttöä.

Web-käyttöliittymä

Yhdistääksesi verkkokäyttöliittymän kautta sinun on syötettävä IPMI-osoite selaimen osoiteriville ja kirjauduttava sisään. Löydät osoitteen ja tiedot valtuutusta varten kirjeestä, jolla on pääsy palvelimeen, tai henkilökohtaiselta tililtäsi. Seuraavaksi sinun on siirryttävä Kaukosäädin -> Konsolin uudelleenohjaus -välilehteen ja napsautettava Launch Console -painiketta.

Valitse Laite 1 -osiossa avattavasta Loogisen aseman tyyppi -luettelosta ISO-tiedosto ja määritä levyllä olevan kuvan polku Avaa kuva -painikkeella ja yhdistä sitten kuva Plug In -painikkeella.

Kun olet yhdistänyt kuvan, käynnistä palvelin uudelleen kohdassa Virranhallinta ->

Jotkin palvelimet mahdollistavat jopa kolmen laitteen yhdistämisen käyttämällä Laite 2- tai Laite 3 -välilehtiä Virtual Media -> Virtual Storage -osiossa. Tästä voi olla hyötyä, jos joudut asentamaan lisäohjaimia asennuksen aikana.

Jos aiot asentaa Windows-käyttöjärjestelmän palvelimelle, näppäinyhdistelmä Ctrl+Alt+Del voidaan välittää Makro-osiossa - Makro.

Ohjeet web-käyttöliittymän käyttämiseen IPMI-laiteohjelmiston vanhemmissa versioissa

IPMIView

Supermicro IPMIView -ohjelman käyttäminen edellyttää, että lataat sen viralliselta verkkosivustolta, jossa ilmoitetaan tietosi, tai suoraan ftp-palvelimelta: https://www.supermicro.com/wftp/utility/IPMIView/

Kun olet asentanut ja suorittanut ohjelman, sinun on lisättävä palvelimesi Tiedosto - Uusi - Järjestelmä -osioon.

Kirjoita System Name -kohtaan palvelimesi nimi ja IP-osoite-sarakkeeseen IPMI-osoite, jonka löydät kirjeestä, jolla on pääsy palvelimeen, tai henkilökohtaiselta tililtäsi. Varmista, että osoitesarakkeen rivin lopussa ei ole välilyöntejä, ja napsauta OK.

Kaksoisnapsauta vasemmalla olevassa luettelossa lisätyn palvelimen nimeä, jonka jälkeen näet valtuutusikkunan. Täytä se käyttämällä kirjeen tai henkilökohtaisen tilisi tietoja ja napsauta Kirjaudu sisään. Jos yhteys onnistuu, näet Connected-ilmoituksen, ja ikkunan alareunaan ilmestyy lisävälilehtiä palvelimen hallintaa varten.

Voit hallita palvelinta etänä siirtymällä KVM-konsoli-osioon ja napsauttamalla Käynnistä KVM-konsoli -painiketta.

Jatkotoimet ovat samanlaisia ​​kuin läpityöskentely

IPMIView-ohjelman avulla voit myös käynnistää palvelimesi uudelleen, ottaa sen käyttöön tai poistaa sen käytöstä IPMI-laite-välilehdellä.