iDRAC9: Sikring af virtuel konsol med Transport Layer Security version 1.2

Med et fortsat fokus på netværkssikkerhed i datacenteret kan iDRAC9 nu begrænse Virtual Console-sessionerne til kun at understøtte TLS-kryptografi (Transport Layer Security) version 1.2. Denne artikel beskriver, hvordan du udfører visse trin, der kræves for at aktivere denne begrænsning på iDRAC9.

---

Indholdsfortegnelse

1. Forudsætninger
2. Begræns webserver til TLS 1.2-protokol
3. Konfigurer indstillinger for virtuel konsol

---

1. Forudsætninger 

• iDRAC9-firmware 4.40.00.00 eller nyere
• Aktivering af webomdirigering på virtuel konsol
• Virtuelt konsol-plugin = HTML5
• Begrænsning af iDRAC-webserveren til TLS 1.2-protokollen

 
iDRAC9-firmware 4.00.00.00 introducerede en ny funktion kaldet Virtual Console Web Redirection. Som standard bruger iDRAC Virtual Console fjerntilstedeværelsesport 5900. Når webomdirigering af virtuel konsol er aktiveret, udnytter fremviseren til virtuel konsol den definerede webserverport til iDRAC9. Som standard bruger iDRAC-webserveren port 443 til https-trafik. Den virtuelle konsol kan drage fordel af de definerede TLS-protokolbegrænsninger på webserverporten ved at oprette den virtuelle konsolsession via webserverporten. HTML5-plugintype er det eneste Virtual Console-plugin, der understøtter omdirigeringsfunktionen. Da denne funktion oprindeligt blev introduceret, blev fjerntilstedeværelsesporten efterladt åben, mens al trafik til porten blev ignoreret. iDRAC9 4.40.00.00 introducerede en ekstra funktion til at lukke denne ubrugte port, når onsomdirigering er aktiveret.
 

---

2. Begræns webserver til TLS 1.2-protokol

Webomdirigering af virtuel konsol kan kun konfigureres via racadm Kommandolinjegrænseflade. Alle de skitserede trin kan indtastes ved hjælp af en SSH-terminalsession eller ved hjælp af racadm hjælpeprogram (DRACTOOLS) via fjernadgang.

Brug ikonet set kommando til at definere iDRAC-webserverens TLS-protokol. I dette tilfælde er værdien af 2 lig med Kun TLS 1.2.

racadm set iDRAC.Webserver.TLSProtocol 2

racadm>>racadm set iDRAC.Webserver.TLSProtocol 2
[Key=iDRAC.Embedded.1#WebServer.1]
Object value modified successfully

Brug get til at bekræfte indstillingerne for iDRAC-webserveren.

racadm get iDRAC.Webserver 

racadm>>racadm get iDRAC.Webserver
[Key=iDRAC.Embedded.1#WebServer.1]
CustomCipherString=
Enable=Enabled
HttpPort=80
HttpsPort=443
HttpsRedirection=Enabled
#MaxNumberOfSessions=8
SSLEncryptionBitLength=Auto-Negotiate
Timeout=1800
TitleBarOption=Auto
TitleBarOptionCustom=
TLSProtocol=TLS 1.2 Only

---

3. Konfigurer indstillinger for virtuel konsol

Brug set til at definere iDRAC Virtual Console Plugin. I dette tilfælde er værdien af "2" lig med HTML5:

racadm set iDRAC.VirtualConsole.PluginType 2

racadm>>racadm set iDRAC.VirtualConsole.PluginType 2
[Key=iDRAC.Embedded.1#VirtualConsole.1]
Object value modified successfully

Brug set kommando til at aktivere omdirigering af iDRAC Virtual Console-web.

racadm set iDRAC.VirtualConsole.WebRedirect Enabled

racadm>>racadm set iDRAC.VirtualConsole.WebRedirect Enabled
[Key=iDRAC.Embedded.1#VirtualConsole.1]
Object value modified successfully

Brug set kommando til at lukke den ubrugte port til ekstern tilstedeværelse.

racadm set iDRAC.VirtualConsole.CloseUnusedPort Enabled

racadm>>racadm set iDRAC.VirtualConsole.CloseUnusedPort Enabled
[Key=iDRAC.Embedded.1#VirtualConsole.1]
Object value modified successfully

Brug get til at bekræfte indstillingerne for iDRAC Virtual Console.

racadm get iDRAC.VirtualConsole

racadm>>racadm get iDRAC.VirtualConsole
[Key=iDRAC.Embedded.1#VirtualConsole.1]
AccessPrivilege=Deny Access
#ActiveSessions=0
AttachState=Auto-attach
CloseUnusedPort=Enabled
Enable=Enabled
EncryptEnable=Enabled
LocalDisable=Disabled
LocalVideo=Enabled
MaxSessions=6
PluginType=2
Port=5900
Timeout=1800
TimeoutEnable=Disabled
WebRedirect=Enabled

Med de fremhævede indstillinger på plads etablerer iDRAC Virtual Console nu HTML5-sessioner via en webserverport med TLS 1.2-protokolbegrænsning. Adresselinjen i konsolfremviseren viser den anvendte port.