>>Les entreprises qui ont externalisé l'administration de leur parc de >>serveurs doivent connecter leur réseau dédié d'admin. (IPMI...) à >>l'Internet, moyennant un filtrage (plus ou moins) bien serré. >>Et vu le nombre qu'on en voit sur Shodan, la pratique fait fureur.
my 2 cents: Le minimum c'est quand meme un vpn ou bastion ssh/proxy pour accéder au réseau OOB. et les cartes BMC n'ont pas de default gw vers internet. ou alors les admins doivent changer de métier ^_^ ----- Mail original ----- De: "daniel Azuelos" <daniel+fr...@azuelos.org> À: "frnog" <frnog@frnog.org> Envoyé: Vendredi 5 Octobre 2018 12:56:14 Objet: Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro [ Mes questions & réponses sont dans le sens normal de lecture. ] Le 05/10/2018, Philippe Bourcier <phili...@frnog.org> a écrit : > Les gens qui auraient fait ça se seraient donc autant embêté pour > accéder au réseau OOB de leurs victimes (la BMC elle est reliée à un > réseau OOB, on est d'accord)... réseau OOB qui aurait donc accès à > Internet. > Je sais pas vous, mais chez moi un OOB n'a pas accès à Internet... > Ca semble être une règle minimale de sécurité. [...] Les entreprises qui ont externalisé l'administration de leur parc de serveurs doivent connecter leur réseau dédié d'admin. (IPMI...) à l'Internet, moyennant un filtrage (plus ou moins) bien serré. Et vu le nombre qu'on en voit sur Shodan, la pratique fait fureur. D'ailleurs sans externalisation, le réseau d'admin. est accessible indirectement. On ne va pas tous en doudoune en salle serveur pour intervenir sur le réseau d'admin.. -- « Je reste optimiste. La vie m'a appris qu'avec le temps le progrès l'emporte toujours. » Simone Veil -------- daniel Azuelos --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
