In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Betriebssystem

ipmi, das problem mit der sicherheit - Max-Planck

Werbung 
ipmi, das problem mit der sicherheit
IT-Sicherheitstagung Berlin 9.-10.11.2016
Carsten John
Max-Planck-Institut für marine Mikrobiologie
whoami
zur person
∙ Carsten John
∙ Max-Planck-Institut für marine Mikrobiologie in Bremen
∙ IT-Sicherheitsbeauftragter
∙ Schwerpunkte: Netzwerk, Linux/Solaris, Sicherheit
2
hintergrund
was ist ipmi?
∙ IPMI: Intelligent Platform Management Interface
∙ Ursprünglich von Intel entwickelt
∙ Derzeit ca 200 Hersteller beteiligt [8]
∙ Betriebssystemunabhängige Schnittstelle zum Mainboard
∙ Eigener Prozessor (Baseboard Management Controller)
4
was ist ipmi?
∙ Grundfunktionen sind
∙
∙
∙
∙
Überwachung der Hardware
Fernsteuerung (Reset, Power On/Off)
Logging (Hardwaresensoren)
Hardwareinventarisierung
∙ Alle Funktionen sind unabängig vom Betriebssystem
∙ Allle Funktionen sind auch im ausgeschalteten Zustand
verfügbar (Stromanschluss vorausgesetzt)
5
ipmi übersicht
Quelle: [1]
6
ipmi versionen
∙ Fuktionalität immer wieder erweitert (auch durch verbesserte
Leistung der BMCs)
∙ Version 1.0: 1998 (Basisfunktionen)
∙ Version 1.5: 2001 (IPMI over LAN, IPMI over Serial/Modem, LAN
Alerting) [6]
∙ Version 2.0: 2004 (Serial over LAN, Group Managed Systems,
Enhanced Authentication,VLAN Support)
∙ Version 2.0 Revision 1.1: 2014 (IPv6) [7]
∙ Version 2.0 Revision 1.1 Errata 7: 2015
∙ Diverse herstellerspez. Erweiterungen (Remote KVM, Serielle
Console via SSH etc.)
∙ Aktuelle Implementierungen sind eher als IPMI++ zu bezeichnen
[4]
∙ Nachfolger: Redfish [9]
7
ipmi versionen
∙ Diverse herstellerspezifische Namen
∙
∙
∙
∙
∙
∙
∙
∙
∙
IPMI (Supermicro)
iDRAC (Dell)
ILOM (Oracle)
iLO (Hewlett Pachard)
iKVM (Asus)
IRMC (Fujitsu)
IMM (IBM)
iMana (Huawei)
...
∙ innerhalb der Hersteller zahlreiche Versionen im Feld
anzutreffen
8
probleme
wo sind die probleme?
∙ Viele Probleme sind seit 2013 bekannt! [2]
∙ Standardisierte Benutzer / Passworte
∙ Protokollschwächen
∙ Unsichere Grundeinstellungen
∙ Funktionserweiterungen (z.B. BIOS Update)
∙ Entsorgung von Altgeräten
∙ Seiteneffekte der Nutzung
10
benutzer/passworte
∙ die meisten Hersteller verwenden Standardbenutzer/Passworte
∙
∙
∙
∙
∙
∙
∙
Supermicro: ADMIN/ADMIN
Dell: root/calvin
Oracle: root/changeme
Asus: admin/admin
Fujitsu: admin/admin
IBM: USERID/PASSW0RD (man beachte die 0)
Huawei: root/Huawei12#$
∙ offenbar werden diese nicht immer geändert
∙ Hewlett Packard verwendet ein zufälliges, 8 Zeichen langes
Passwort
11
protokollschwächen
∙ Diverse massive Schwächen sind im Protokoll spezifiziert
∙ Netzwerkprotokoll ist Klartext UDP (IPMI 1.5)
∙ Anonyme Abfrage von:
∙ Chanel Authentication Capabilities
∙ System GUID (IPMI 2.0, 1.5 optional)
∙ Passworte als Klartext im Filesystem (IPMI 2.0)
∙ Schwache Hash Algorithmen (MD2...)
∙ Cypher Zero (IPMI 2.0) [5]
∙ wenn cyper 0 aktiv ist kann auf alle Funktionen ohne
Authentifizierung zugegriffen werden
12
unsichere grundeinstellungen
∙ Default Benutzer/Passworte
∙ Network Failover
∙ anonymous account
∙ cypher zero
13
funktionserweiterungen
∙ BIOS Update (remote)
∙ BIOS Konfiguration (remote)
∙ ...
14
altgeräte
∙ Wie stellen wir sicher, das keine Passworte aus dem BMC
auslesbar sind?
∙ US-CERT empfiehlt die Zerstörung der Mainboards [2]
15
seiteneffekte der nutzung
∙ Remote KVM Funktion
∙ in der Regel wird die lokale Ausgabe gespiegelt
∙ in Rechnerräumen mit multiplen Nutzern: Monitore aus!
16
angriffsszenarien
übersicht
∙ Denial Of Service (Power Down...)
∙ Abfangen von Daten über den BMC (Keylogger, PCI Bus)
∙ Infektion des Host Betriebssystems
∙ root auf dem BMC -> root auf dem Host
∙ Infektion des BMC
∙
∙
∙
∙
root auf dem Host -> root auf dem BMC
BMC Rootkits?
IPMI Botnets?
Der Sourcecode der IPMI FW von Supermicro ist auf github
verfügbar [3]
∙ Abfluss von Passworten bei der Dekomissionierung von Servern
∙ Ausnutzung von BMCs für DDOS Angriffe (amplification attack)
∙ UDP, kleine Anfrage kann große Antwort erzeugen
18
was macht das ganze so kritisch?
∙ Angriffe auf das Host Betriebssystem sind einfach
∙ media-redirection (ISO Image) -> boot -> root host
∙ air gap?
∙ Unterschied zur einfachen Infektion des Host Betriebssystems
∙ Kompromittierung des BMC ist vom Host u.U. nicht erkennbar
∙ Reinstallation des Hosts ist nutzlos
19
feldversuche
sind bmcs im internet?
∙ Scannen des gesamten Internet habe ich lieber anderen
überlassen :)
∙ http://www.censys.io
∙
∙
∙
∙
∙
∙
ähnlich Shodan
Suchmaschine für Scanergebnisse [10]
Projekt der University of Michigan
täglicher Scan des gesamten IPv4 Bereiches
es werden nicht alle Ports gescannt
Identifizierung von BMC relativ einfach möglich
21
identifizierung von bmcs
∙ vorinstallierte SSL Zertifikate
∙
∙
∙
∙
CN=
OU=
O=
emal Address=
∙ Herstellerspezifisch finden sich entsprechende Suchkriterien
22
supermicro
23
dell
24
oracle
25
hp
26
fujitsu
27
huawei
28
identifizierung von bmcs
∙ mehrere Millionen BMCs sind im Internet auffindbar
∙ viele davon mit Standard Benutzername / Passwort
∙ viele mit alter Firmware
29
abhilfe
grundsätzliches
∙ separates Out-Of-Band Netz (oder zumindest VLAN)
∙ BMC Firmware updaten
∙ Benutzernamen / Passworte ändern
31
konfiguration
∙ Statische IP
∙ VLAN disable
∙ Eigenen User anlegen
∙ NULL User aka User1 abschalten
∙ Cipher 0prüfen
∙ KG key setzen
∙ alle Cipher ausser 3,8 und 13 abschalten
32
konfiguration
bmc−c o n f i g −D lan −u $USER −h ipmi−$HOST −−checkout −P
liefert die gesamte Konfiguration des BMC
bmc−c o n f i g −D lan −u $USER −h ipmi−$HOST −−commit −P < $ F I L E
lädt ein Config File in den BMC
diverse herstellerspezifische Tools leisten Ähnliches
33
konfiguration
S e c t i o n User1
Enable_User
Lan_Enable_IPMI_Msgs
Lan_Enable_Link_Auth
Lan_Enable_Restricted_to_Callback
Lan_Privilege_Limit
SOL_Payload_Access
EndSection
S e c t i o n User2
Username
Enable_User
Lan_Enable_IPMI_Msgs
Lan_Enable_Link_Auth
Lan_Enable_Restricted_to_Callback
Lan_Privilege_Limit
SOL_Payload_Access
EndSection
S e c t i o n User3
Username
Enable_User
Lan_Enable_IPMI_Msgs
Lan_Enable_Link_Auth
Lan_Enable_Restricted_to_Callback
Lan_Privilege_Limit
SOL_Payload_Access
EndSection
Yes
No
No
No
Yes
ADMIN
Yes
Yes
No
Yes
Administrator
Yes
nagios
Yes
Yes
No
No
Administrator
Yes
34
konfiguration
S e c t i o n User4
Username
Enable_User
Lan_Enable_IPMI_Msgs
Lan_Enable_Link_Auth
Lan_Enable_Restricted_to_Callback
Lan_Privilege_Limit
SOL_Payload_Access
EndSection
S e c t i o n User5
Username
Enable_User
Lan_Enable_IPMI_Msgs
Lan_Enable_Link_Auth
Lan_Enable_Restricted_to_Callback
Lan_Privilege_Limit
SOL_Payload_Access
EndSection
S e c t i o n User6
Username
Enable_User
Lan_Enable_IPMI_Msgs
Lan_Enable_Link_Auth
Lan_Enable_Restricted_to_Callback
Lan_Privilege_Limit
SOL_Payload_Access
EndSection
No
No
No
No
Yes
No
No
No
No
No
No
No
No
No
No
35
konfiguration
S e c t i o n User7
Username
Enable_User
Lan_Enable_IPMI_Msgs
Lan_Enable_Link_Auth
Lan_Enable_Restricted_to_Callback
Lan_Privilege_Limit
SOL_Payload_Access
EndSection
S e c t i o n User8
Username
Enable_User
Lan_Enable_IPMI_Msgs
Lan_Enable_Link_Auth
Lan_Enable_Restricted_to_Callback
Lan_Privilege_Limit
SOL_Payload_Access
EndSection
S e c t i o n User9
Username
Enable_User
Lan_Enable_IPMI_Msgs
Lan_Enable_Link_Auth
Lan_Enable_Restricted_to_Callback
Lan_Privilege_Limit
SOL_Payload_Access
EndSection
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
36
konfiguration
S e c t i o n User10
Username
Enable_User
Lan_Enable_IPMI_Msgs
Lan_Enable_Link_Auth
Lan_Enable_Restricted_to_Callback
Lan_Privilege_Limit
SOL_Payload_Access
EndSection
S e c t i o n Lan_Channel
Volatile_Access_Mode
Volatile_Enable_User_Level_Auth
Volatile_Enable_Per_Message_Auth
Volatile_Enable_Pef_Alerting
Volatile_Channel_Privilege_Limit
Non_Volatile_Access_Mode
Non_Volatile_Enable_User_Level_Auth
Non_Volatile_Enable_Per_Message_Auth
Non_Volatile_Enable_Pef_Alerting
Non_Volatile_Channel_Privilege_Limit
EndSection
S e c t i o n Lan_Conf
IP_Address_Source
IP_Address
MAC_Address
Subnet_Mask
Default_Gateway_IP_Address
Default_Gateway_MAC_Address
Backup_Gateway_IP_Address
Backup_Gateway_MAC_Address
EndSection
No
No
No
No
No
Always_Available
Yes
Yes
Yes
Administrator
Always_Available
Yes
Yes
Yes
Administrator
Static
172.17.2.20
0 0 : 2 5 : 9 0 : FE : AC : F5
255.255.248.0
172.17.2.20
00:00:00:00:00:00
0.0.0.0
00:00:00:00:00:00
37
konfiguration
S e c t i o n Lan_Conf_Auth
Callback_Enable_Auth_Type_None
Callback_Enable_Auth_Type_MD2
Callback_Enable_Auth_Type_MD5
Callback_Enable_Auth_Type_Straight_Password
User_Enable_Auth_Type_None
User_Enable_Auth_Type_MD2
User_Enable_Auth_Type_MD5
User_Enable_Auth_Type_Straight_Password
Operator_Enable_Auth_Type_None
Operator_Enable_Auth_Type_MD2
Operator_Enable_Auth_Type_MD5
Operator_Enable_Auth_Type_Straight_Password
Admin_Enable_Auth_Type_None
Admin_Enable_Auth_Type_MD2
Admin_Enable_Auth_Type_MD5
Admin_Enable_Auth_Type_Straight_Password
OEM_Enable_Auth_Type_None
OEM_Enable_Auth_Type_MD2
OEM_Enable_Auth_Type_MD5
OEM_Enable_Auth_Type_Straight_Password
EndSection
Section Lan_Conf_Security_Keys
K_R
K_G
EndSection
No
No
No
Yes
No
No
Yes
Yes
No
No
Yes
Yes
No
No
Yes
Yes
No
No
No
Yes
0xChange_me
38
konfiguration
Section Lan_Conf_User_Security
EndSection
S e c t i o n Lan_Conf_Misc
Enable_Gratuitous_ARPs
Enable_ARP_Response
EndSection
Section Rmcpplus_Conf_Privilege
Maximum_Privilege_Cipher_Suite_Id_1
Maximum_Privilege_Cipher_Suite_Id_2
Maximum_Privilege_Cipher_Suite_Id_3
Maximum_Privilege_Cipher_Suite_Id_6
Maximum_Privilege_Cipher_Suite_Id_7
Maximum_Privilege_Cipher_Suite_Id_8
Maximum_Privilege_Cipher_Suite_Id_11
Maximum_Privilege_Cipher_Suite_Id_12
EndSection
S e c t i o n SOL_Conf
Enable_SOL
SOL_Privilege_Level
Force_SOL_Payload_Authentication
Force_SOL_Payload_Encryption
Character_Accumulate_Interval
Character_Send_Threshold
SOL_Retry_Count
SOL_Retry_Interval
Non_Volatile_Bit_Rate
Volatile_Bit_Rate
EndSection
No
Yes
Unused
Unused
Administrator
Unused
Unused
Administrator
Unused
Administrator
Yes
Operator
Yes
Yes
12
96
7
50
11 5 2 0 0
11 5 2 0 0
39
fragen
quellen
[1]
url: https://www.thomas-krenn.com/en/wiki/File:
Ipmi-schematische-darstellung.png (besucht am
16. 10. 2016).
[2]
url:
https://www.us-cert.gov/ncas/alerts/TA13-207A
(besucht am 07. 11. 2016).
[3]
url: https://github.com/devicenull/supermicro_
ipmi_firmware (besucht am 07. 11. 2016).
[4]
Dan Farmer. IPMI++ Security Best Practices. 2013. url:
http://fish2.com/ipmi/bp.pdf (besucht am 16. 10. 2016).
[5]
Dan Farmer. The infamous cipher 0. url:
http://fish2.com/ipmi/cipherzero.html (besucht am
16. 10. 2016).
42
[6]
Intel. intel:ipmi-1.5r1.1. 2002. url:
http://www.intel.com/content/dam/www/public/
us/en/documents/product-briefs/spec-licenseagreement.pdf (besucht am 16. 10. 2016).
[7]
Intel. intel:ipmi-2.0r1.1. 2013. url:
http://www.intel.com/content/dam/www/public/
us/en/documents/product-briefs/ipmi-secondgen-interface-spec-v2-rev1-1.pdf (besucht am
16. 10. 2016).
[8]
Intel. IPMI Adopters List. 2014. url:
http://www.intel.com/content/www/us/en/
servers/ipmi/ipmi-adopters-list.html (besucht am
16. 10. 2016).
[9]
Distributed Management Taskforce. Redfish API. 2014. url:
https://www.dmtf.org/standards/redfish (besucht
am 16. 10. 2016).
43
[10] Ariana Mirian Michael Bailey J.
Alex Halderman† Zakir Durumeric David Adrian. A Search
Engine Backed by Internet-Wide Scanning. 2015. url:
https://www.censys.io/static/censys.pdf (besucht
am 16. 10. 2016).
44
Zugehörige Unterlagen
Gesunde Ernährung in allen Lebens- phasen
Gesunde Ernährung in allen Lebens- phasen
该板外观结构图如下 - Savebase.com
该板外观结构图如下 - Savebase.com
File - CAS ICT in der Schule
File - CAS ICT in der Schule
Ich ging durch einen grasgrünen Wald
Ich ging durch einen grasgrünen Wald
Informatik
Informatik
Neujahrsempfang - Gemeinde
Neujahrsempfang - Gemeinde
powerpoint präsentation von - hak
powerpoint präsentation von - hak
Beschreibe dein Projekt - YES WE DO › 365 Beispiele, die unsere
Beschreibe dein Projekt - YES WE DO › 365 Beispiele, die unsere
Wortarten: Substantiv? Verb? Adjektiv? - Auth-Film
Wortarten: Substantiv? Verb? Adjektiv? - Auth-Film
Document
Document
Das eigene Netzwerk unter Windows 2000 120KB Feb 10 2011
Das eigene Netzwerk unter Windows 2000 120KB Feb 10 2011
Laden Sie hier unsere Katalog - Bauxpert Christiansen Niebüll
Laden Sie hier unsere Katalog - Bauxpert Christiansen Niebüll
Herunterladen
Werbung