IPMIView: шифрование и безопасность

Преимущества в безопасности, ко­то­рые по­лу­ча­ет поль­зо­ва­тель сер­вер­ных платформ Super­micro, при­ме­нив вмес­то бра­у­зер­ной вер­сии за­щи­щен­ный веб-ин­тер­фейс IPMIView, оче­вид­ны уже на эта­пе ин­стал­ля­ции это­го про­г­рам­мно­го па­ке­та. Так они лег­че все­го ил­люс­т­ри­ру­ют­ся и про­ще все­го ана­ли­зи­ру­ют­ся. При­сту­пим к ус­та­нов­ке ути­ли­ты IPMIView для Win­­dows, пред­ва­ри­тель­но по­лу­чив ее с сайта про­из­во­ди­те­ля (актуальная вер­сия на данный момент — 2.16.00, ре­лиз 190815).

Установка IPMIView

Для установки программного обеспечения IPMIView применяется инсталлятор InstallAnywhere — программный инструмент от Flexera Software, разработанный на основе Java

 

Сразу бросается в глаза, что для установки программного обеспечения IPMIView при­ме­ня­ет­ся ин­те­гри­ро­ван­ный ин­стал­ля­тор InstallAnywhere — программный инструмент от Flexera Software, разработанный на основе Java. Это не дол­ж­но быть не­о­жи­дан­но­стью, так как и на этапе инсталляции, и в процессе эксплуатации IPMI-ин­тер­фей­са тре­бу­ет­ся на­ли­чие пред­ус­та­нов­лен­ной Java-среды.

Предварительное сообщение InstallAnywhere при установке IPMIView выглядит так

 

Предварительное сообщение InstallAnywhere при установке утилиты IPMIView стоит только того, чтобы упо­мя­нуть о нем — прак­ти­че­ско­го значения этот этап инсталляции не имеет.

Лицензионное соглашение — обязательный атрибут установки IPMIView

 

Лицензионное соглашение — обязательный атрибут установки IPMIView.

IPMIView — это 32-х битный программный продукт, который одинаково хорошо поддерживается и Java x86, и Java x86-64

 

IPMIView — это 32-х битный программный продукт, который одинаково хорошо поддерживается и Java x86, и Java x86-64. Но по умолчанию, инсталлятор предлагает его ставить в x86-раздел программного обеспечения Windows.

Последние приготовления перед инсталляцией IPMIView — итоговый экран установщика InstallAnywhere

 

Последние приготовления перед инсталляцией IPMIView — итоговый экран установщика InstallAnywhere — ин­фор­ми­ру­ет пользователя об атрибутах утилиты и в общем-то немалом дисковом пространстве, не­об­хо­ди­мом для ее раз­ме­ще­ния.

Даже если до установки IPMIView в системе не было среды Java Runtime Environment, инсталлятор InstallAnywhere позаботится о ней

 

Даже если до установки IPMIView в системе не было среды Java Runtime Environment, ин­стал­ля­тор In­stall­Any­where по­за­бо­тит­ся о ней.

Установка IPMIView успешно завершена — можно приступать к работе

Первый запуск IPMIView

Установка IPMIView успешно завершена — можно приступать к работе.

До начала промышленной эксплуатации IPMIView полезно ознакомиться с информацией, собранной установщиком о системе

 

До начала промышленной эксплуатации IPMIView полезно ознакомиться с информацией, со­бран­ной ус­та­нов­щи­ком о сис­те­ме. Эти данные могут оказаться полезными для ре­ше­ния не­штат­ных си­ту­а­ций, воз­ни­ка­ю­щих на ин­ст­ру­мен­таль­ной плат­фор­ме в процессе удаленного доступа к серверному парку Supermicro.

Туннелирование трафика

Выполнив инсталляцию IPMIView, стоит заглянуть в подкаталог программы \BMCSecurity\win\, где находится утилита stunnel.exe, предназначенная для работы в качестве оболочки TLS-шифрования между ин­с­т­ру­мен­таль­ной плат­фор­мой и уда­лен­ны­ми серверами. Ее кон­цеп­ция за­клю­ча­ет­ся в том, чтобы имея в сис­те­ме де­мо­ны, не под­дер­жи­ва­ю­щие TLS-про­то­кол за­щи­ты тран­с­порт­но­го уровня, легко на­стро­ить их для связи с кли­ен­та­ми по за­щи­щен­ным ка­на­лам.

Утилита stunnel предназначена для работы в качестве оболочки TLS-шифрования между инструментальной платформой  и удаленными серверами

 

Впрочем, не обходится без сюрпризов! Текущая версия Supermicro IPMIView 2.16 для Windows, ус­та­нав­ли­вая свою соб­ст­вен­ную версию stunnel, игнорирует и отключает любую другую существующую версию этого же про­г­рам­мно­го про­дук­та! Так что если вы относитесь к узкому слою энтузиастов, которые используются stunnel как ин­ст­ру­мен­том уп­рав­ле­ния доступом к удаленным серверам, будьте на чеку.

Защита локальных данных

Окончательную оценку защищенности IPMIView можно получить, пытаясь ознакомиться с ресурсами этой по­лез­ной про­г­рам­мы с помощью расхожих инструментов, таких как Resource Hacker или Restorator. При­ве­дем скриншот такого экс­пе­ри­мен­та:

Утилита IPMIView, и ее библиотеки хранятся на локальном носителе инструментальной платформы в зашифрованном виде

 

Как видим, редактор ресурсов при попытке по­лу­чить ин­фор­ма­цию от ис­пол­ня­е­мо­го файла IPMIView20.exe не видит ни­че­го кро­ме сиг­на­ту­ры InstallAnywhere от Flexera Software. Это означает, что и сама утилита IPMI­View, и ее биб­ли­о­те­ки хранятся на локальном носителе ин­ст­ру­мен­таль­ной платформы в за­шиф­ро­ван­ном виде. Все ак­ка­ун­ты, па­ро­ли и на­ст­рой­ки, созданные для уда­лен­но­го управления серверами, бу­дут не­до­ступ­ны­ми стороннему глазу. Что, в об­щем-то, и нуж­но для без­о­пас­ного доступа.