iDRAC9: Забезпечення безпеки Virtual Console за допомогою Transport Layer Security версії 1.2
Summary: У цій статті описано, як виконати певні кроки, необхідні для забезпечення цього обмеження на iDRAC9.
Instructions
З подальшим акцентом на мережеву безпеку в дата-центрі, iDRAC9 тепер може обмежувати сесії Virtual Console лише підтримкою криптографії Transport Layer Security (TLS) версії 1.2. У цій статті описано, як виконати певні кроки, необхідні для забезпечення цього обмеження на iDRAC9.
Зміст
1. Передумови
- Прошивка iDRAC9 4.40.00.00 або новіша
- Активація веб-перенаправлення на Virtual Console
- Плагін Віртуальної консолі = HTML5
- Обмеження iDRAC веб-сервера протоколом TLS 1.2
Прошивка iDRAC9 4.00.00.00 представила нову функцію під назвою Virtual Console Web Redirection. За замовчуванням iDRAC Virtual Console використовує порт віддаленої присутності 5900. Коли увімкнено веб-перенаправлення Virtual Console, переглядач Virtual Console використовує визначений порт вебсервера для iDRAC9. За замовчуванням веб-сервер iDRAC використовує порт 443 для https-трафіку. Віртуальна консоль може скористатися визначеними обмеженнями протоколу TLS, встановленими для порту вебсервера, встановлюючи сесію віртуальної консолі через порт вебсервера. Тип плагіна HTML5 — єдиний плагін Virtual Console, який підтримує функцію перенаправлення. Коли ця функція була вперше введена, порт віддаленої присутності залишався відкритим, ігноруючи будь-який трафік до порту. iDRAC9 4.40.00.00 додав додаткову функцію для закриття цього невикористаного порту при увімкненому перенаправленні WED.
2. Обмежити вебсервер протоколом TLS 1.2
Веб-перенаправлення Віртуальної консолі можна налаштувати лише за допомогоюracadm інтерфейс командного рядка. Усі викладені кроки можна ввести за допомогою SSH-термінальної сесії або за допомогою racadm utility (DRACTOOLS) дистанційно.
Використовуйте
set команду для визначення протоколу TLS вебсервера iDRAC. У цьому випадку значення 2 дорівнює лише TLS 1.2.
racadm set iDRAC.Webserver.TLSProtocol 2
racadm>>racadm set iDRAC.Webserver.TLSProtocol 2 [Key=iDRAC.Embedded.1#WebServer.1] Object value modified successfully
Використовуйте get щоб підтвердити налаштування вебсервера iDRAC.racadm get iDRAC.Webserver
racadm>>racadm get iDRAC.Webserver [Key=iDRAC.Embedded.1#WebServer.1] CustomCipherString= Enable=Enabled HttpPort=80 HttpsPort=443 HttpsRedirection=Enabled #MaxNumberOfSessions=8 SSLEncryptionBitLength=Auto-Negotiate Timeout=1800 TitleBarOption=Auto TitleBarOptionCustom= TLSProtocol=TLS 1.2 Only
3. Налаштування налаштувань Віртуальної консолі
Використовуйте set для визначення плагіна iDRAC Virtual Console. У цьому випадку значення «2» дорівнює HTML5:racadm set iDRAC.VirtualConsole.PluginType 2
racadm>>racadm set iDRAC.VirtualConsole.PluginType 2 [Key=iDRAC.Embedded.1#VirtualConsole.1] Object value modified successfully
Використовуйте set для увімкнення iDRAC Virtual Console Web Redirection.racadm set iDRAC.VirtualConsole.WebRedirect Enabled
racadm>>racadm set iDRAC.VirtualConsole.WebRedirect Enabled [Key=iDRAC.Embedded.1#VirtualConsole.1] Object value modified successfully
Використовуйте set команда закрити невикористаний порт віддаленої присутності.racadm set iDRAC.VirtualConsole.CloseUnusedPort Enabled
racadm>>racadm set iDRAC.VirtualConsole.CloseUnusedPort Enabled [Key=iDRAC.Embedded.1#VirtualConsole.1] Object value modified successfully
Використовуйте get для підтвердження налаштувань iDRAC Virtual Console.racadm get iDRAC.VirtualConsole
racadm>>racadm get iDRAC.VirtualConsole [Key=iDRAC.Embedded.1#VirtualConsole.1] AccessPrivilege=Deny Access #ActiveSessions=0 AttachState=Auto-attach CloseUnusedPort=Enabled Enable=Enabled EncryptEnable=Enabled LocalDisable=Disabled LocalVideo=Enabled MaxSessions=6 PluginType=2 Port=5900 Timeout=1800 TimeoutEnable=Disabled WebRedirect=Enabled
З виділеними налаштуваннями iDRAC Virtual Console тепер встановлює сесії HTML5 через порт вебсервера з обмеженням протоколу TLS 1.2. Адресний рядок переглядача консолі відображає порт, який використовується.
