Se ha informado en los medios y en algunas listas de correo conscientes de la seguridad que Algunos servidores, implementaciones y marcas habilitados para IPMI sufren serios problemas de seguridad.
Cuando va a un proveedor de servidores dedicados para alquilar un servidor no administrado preconfigurado que tiene IPMI (ya sea que esté habilitado o no para su uso), ¿cuáles son los aspectos que debe buscar, desde el punto de vista de la seguridad?
Espero que los problemas a los que se hace referencia sean el problema cero cifrado infame . Si está alquilando un servidor dedicado con esta capacidad, una opción sería completar un análisis de vulnerabilidad del servidor para ver si es vulnerable. Nessus definitivamente tiene un cheque para este problema, y Metasploit también tiene módulos para detectarlo (tienen detalles sobre el problema y los módulos here )
Un punto clave antes de escanear el servidor es obtener permiso (por escrito) de la compañía de alojamiento para el escaneo. La mayoría de las empresas que he visto están bien con ese tipo de escaneo siempre que sean notificados.
Le sugiero que analice la forma en que la empresa maneja los informes de vulnerabilidad, así como su respuesta a dichos informes.
La empresa debe proporcionar una forma segura y privada para informar vulnerabilidades, como un correo electrónico de respuesta de seguridad dedicado y una clave PGP para el cifrado de informes, y deben proporcionar esto en una ubicación fácil de encontrar. Tampoco deben perseguir a las personas que encuentran estas vulnerabilidades y denunciarlas, como han hecho algunas empresas anteriormente.
Para los informes de incidentes, deben responder rápidamente, como guía dentro de las 48 horas posteriores al informe, a la persona que informó sobre la vulnerabilidad. Si es posible, debe publicarse un parche temporal CUANTO ANTES (como los FixIts de Microsoft), y luego se debe lanzar uno más permanente que elimine por completo la causa de la vulnerabilidad. La compañía también debe proporcionar una manera de mantener a sus clientes actualizados sobre los problemas de seguridad de sus productos, como una lista de correo, y mantenerlos actualizados periódicamente.
Lea otras preguntas en las etiquetas hardware server remote-server