Dosazitelnost BGP routeru

[Dan Lukes]

On 02/08/16 19:37, Zbyněk Burget wrote:
>> Klicovou je otazka nouzove vzdalene spravy.
>> Zjistis, ze vnitrni sit neni ze sveta dostupna, takze se potrebujes
>> pripojit a vyresit to. Skrz vnitrni sit to nepujde, protoze vnitrni site
>> o konektivitu prisla.

> Tak tohle je resitelne pomoci IPMI. Tedy za predpokladu, ze IPMI bude
> mit verejnou IP adresu. Coz je samozrejme zase krok proti bezpecnosti,
> jen jeste nemame uplne neposouzena rizika takove konfigurace.

No, IPMI na opravdu verejny adrese mam v tuto chvili na jedinem pocitaci 
a jestli mi neco kazi klidny spani, tak urcite tohle.

Nic moc odolnost proti DoS. Cimz nemyslim odolnosti proti akutnim 
utokum, jako to, ze se ten BMC chip driv nebo pozdec zadre. Takze nikdy 
nevim, jestli az ten pristup budu potrebovat bude skutecne moznej.

Obecne nemiva IPMI velkou schopnost sebeochrany. Minimalni nebo zadny 
vnitrni firewall, nulova ochrana proti brutal-force.

Dneska bezne umoznuje pripojit si vzdalenej ISO image a nabootovat z 
nej. Takze kdo prolomi IPMI je schopen ziskat plnou kontrolu aniz by 
musel prolomit ochranu OS neb si bootne svuj. Zlaty casy kdy mi to mohli 
"jen" vypnout.

A kazdy IPMI, do kteryho jsem mel moznost hloubeji stourat, melo 
nedokumentovany funkce, ktery umoznovaly ledacoz o cem beznej clovek 
nevedel. A kdovi, kolik tam bylo dalsich takovejch, ktery jsem nenasel 
ani ja.

Nijak zvlast me v tomhle kontextu neuklidnuje, ze prilis mnoho BMC chipu 
ma stejnyho vyrobce a uvnitr bezi zrejme tentyz Linux prelozeny z jedne 
code-base. Je to kod, ktery se nejenze obcas zadre pod vnejsim utokem, 
ale zhruba jednou za rok a pul zacne bez ciziho zavineni piskat poplach 
zadrenyho vetraku. Ma pravdu - skutecne se vevnitr zadnej vetrak netoci, 
deska je pasivni, nikdy tam zadnej nebyl.

IPMI je dabelska vec. Ale kvuli nekterejm vlastnostem natolik svudna, ze 
je tezky odolat.

Jestli mas moznost mit separatni verejne dostupnou adresu pro IPMI, tak 
snad radsi abys ji zastrcil do nejakyho malyho pocitace a IPMI propojil 
az z nej - a radsi ne na urovni IP/TCP forwardingu, lec tak, ze na IPMI 
budes pristupovat z prikazovy radky toho predrazenyho stroje.

> Este sa da do niektoreho pocitaca pripojit GSM modem

Rozhodne bych radsi sel do klasickyho modemu (a nejen GSM, klidne i 
klasickyho, na analogovy lince), nez do externiho NECO<->IP bridge.

FreeBSD velmi dobre "umi" modem zapojenej do seriaku, v roli vzdaleneho 
pristupu k seriovy konzoli.

A ziskas tak pristup uz na urovni uvodniho loaderu aniz musis cekat az 
se plne rozjete IP stack. Coz ocenis nejpozdeji ve chvili, kdy ti po 
padu server kvuli chybam ve FS a neschopnosti namountovat nejaky volume 
system skonci v singlu.

Pricemz o pristup skrz IP jsi tim neprisel, kdybys to chtel. ppp na tom 
seriaku rozjedes taky. Pravda, nikoliv LTE rychlosti, ale tadu je preci 
rec o nouzove vzdalne sprave, ted neresime upgrade systemu.

A pokud mas pocitac co ma jeste skutecnej seriak, je nemala sance, ze ho 
tim modemem pujde v pripade nutnosti i zapnout. To pres ten IP bridge 
pujde tezko i v pripade, ze sitovka WOL umi.

Akoratze dneska je cim dal slozitejsi nejakej obycejnej modem sehnat.

Dan