인텔리전트 플랫폼 관리 인터페이스

Intelligent Platform Management Interface

Intelligent Platform Management Interface(IPMI; 인텔리전트 플랫폼 관리 인터페이스)는 자율 컴퓨터 서브시스템의 컴퓨터 인터페이스 사양 세트로, 호스트 시스템의 CPU, 펌웨어(BIOS 또는 UEFI) 및 운영 체제와는 독립적으로 관리 및 감시 기능을 제공합니다.IPMI 는, 시스템 관리자컴퓨터 시스템대역외 관리와 그 동작의 감시를 위해서 사용하는 인터페이스 세트를 정의합니다.예를 들어, IPMI는 운영 체제나 로그인 셸이 아닌 하드웨어에 대한 네트워크 연결을 사용하여 전원이 꺼지거나 응답하지 않는 컴퓨터를 관리하는 방법을 제공합니다.커스텀 operating system을 리모트로 인스톨 하는 경우도 있습니다.IPMI 를 사용하지 않는 경우, 커스텀 operating system을 인스톨 하려면 , 관리자가 컴퓨터 근처에 물리적으로 있어, OS 인스톨러를 포함한 DVD 또는 USB 플래시 드라이브를 삽입해, 모니터와 키보드를 사용해 인스톨 프로세스를 완료할 필요가 있습니다.관리자는 IPMI를 사용하여 ISO 이미지를 마운트하고 설치 DVD를 시뮬레이션하며 설치를 [1]원격으로 수행할 수 있습니다.

이 사양은 인텔이 주도하고 있으며 1998년 9월 16일에 처음 공개되었습니다.Cisco, Dell,[2] Hewlett Packard Enterprise, Intel, Marvell Semiconductor, NEC Corporation, Supermicro, Tyan [3][4] 200개 이상의 컴퓨터 시스템 벤더가 지원하고 있습니다.

IPMI의 후계자는 Redfish입니다.

기능

표준화된 인터페이스와 프로토콜을 사용하면 IPMI 기반의 시스템 관리 소프트웨어가 여러 개의 이종 서버를 관리할 수 있습니다.메시지 기반의 하드웨어 수준의 인터페이스 사양으로서 IPMI는 운영체제(OS)와 독립적으로 동작하며 운영체제나 시스템 관리 소프트웨어가 없는 경우에도 관리자가 원격으로 시스템을 관리할 수 있습니다.따라서 IPMI 기능은 다음 3가지 시나리오 중 하나로 동작할 수 있습니다.

  • (예를 들어 리모트모니터링이나 BIOS 설정 변경 등)
  • 시스템 전원이 꺼졌을 때
  • OS 또는 시스템 장애 발생 후 – 인밴드 시스템 관리와 비교하여 IPMI의 주요 특징은 SSH를 사용하여 운영체제에 리모트 로그인을 할 수 있다는 것입니다.

시스템 관리자는 IPMI 메시지를 사용하여 플랫폼 상태 감시(시스템 온도, 전압, 팬, 전원장치, 섀시 침입 등), 인벤토리 정보 조회, 범위를 벗어난 하드웨어 로그 확인, 동일한 연결을 통해 원격 콘솔에서 요청 발행 등의 복구 절차를 수행할 수 있습니다.예를 들어 시스템 전원을 끄고 재부팅하거나 감시 타이머를 구성합니다.또한 이 규격에서는 시스템이 Simple Network Management Protocol(SNMP) 플랫폼이벤트 트랩(PET)을 송신하기 위한 경보메커니즘도 정의되어 있습니다.

모니터 대상 시스템의 전원을 끌 수 있지만 전원 및 모니터링 매체(일반적으로 LAN)에 연결해야 합니다.IPMI 는, operating system이 기동한 후에도 기능해, 관리 데이터와 구조를 시스템 관리 소프트웨어에 공개합니다.IPMI는 인터페이스의 구조와 형식만을 표준으로 규정하지만, 상세한 실장은 다를 수 있습니다.IPMI 버전 1.5 의 실장은, 직접 대역외 LAN 또는 시리얼 접속, 또는 리모트클라이언트에의 사이드 밴드 LAN 접속을 개입시켜 통신할 수 있습니다.사이드밴드 LAN 접속은 보드 네트워크인터페이스 컨트롤러(NIC)를 사용합니다.이 솔루션은 전용 LAN 연결보다 비용이 저렴하지만 대역폭 및 보안 문제도 제한적입니다.

IPMI 버전 2.0에 준거한 시스템은 시리얼 오버 LAN을 통해 통신할 수도 있습니다.이것에 의해, 시리얼 콘솔의 출력을 LAN 경유로 리모트로 표시할 수 있습니다.IPMI 2.0을 실장하고 있는 시스템에는, 통상, KVM over IP, 리모트 가상 미디어, 대역외 임베디드 Web 서버 인터페이스 기능도 있습니다만, 엄밀하게 말하면, 이것들은 IPMI 인터페이스 표준의 범위외입니다.

DCMI(Data Center Manageability Interface)는 IPMI를 기반으로 하는 유사한 규격이지만 데이터센터 관리에 보다 적합하도록 설계되어 있습니다.IPMI에 정의된 인터페이스를 사용하지만 옵션 인터페이스의 수를 최소화하고 전력 제한 제어를 포함합니다.

IPMI 컴포넌트

IPMI architecture diagram shows BMC sideband via SMBUS.
베이스보드 관리 컨트롤러(BMC)에 대한 인터페이스

IPMI 서브시스템은 베이스보드 관리 컨트롤러(BMC)라고 불리는 메인컨트롤러와 위성컨트롤러라고 불리는 다른 시스템모듈에 분산되어 있는 다른 관리컨트롤러로 구성됩니다.같은 섀시 내의 위성 컨트롤러는 Intelligent Platform Management Bus/Bridge(IPMB)라는 시스템 인터페이스를 통해 BMC에 연결됩니다.이것은 I²C(Inter-Integrated Circuit)의 확장 구현입니다.BMC는 Intelligent Platform Management Controller(IPMC) 버스 또는 브릿지를 통해 위성 컨트롤러 또는 다른 섀시의 다른 BMC에 접속합니다.이 규격에 의해 정의된 전용 와이어 프로토콜인 RMCP(Remote Management Control Protocol)를 사용하여 관리할 수 있습니다.RMCP+(RMCP보다 강력한 인증을 가진 UDP 기반 프로토콜)는 IPMI over LAN에 사용됩니다.

여러 벤더가 BMC 칩을 개발 및 판매하고 있습니다.임베디드 애플리케이션에 사용되는 BMC는 메모리가 한정되어 있어 IPMI 기능을 모두 구현하기 위해 최적화된 펌웨어 코드가 필요할 수 있습니다.고도로 통합된 BMC는 복잡한 명령을 제공하여 서비스 프로세서의 완전한 대역 외 기능을 제공할 수 있습니다.IPMI 인터페이스를 실장하는 펌 웨어는, 다양한 벤더가 제공하고 있습니다.Field Replaceable Unit(FRU; 필드 교환 가능 유닛) 저장소에는 교체 가능 디바이스의 벤더 ID 및 제조업체 등의 인벤토리가 저장됩니다.센서 데이터 레코드(SDR) 저장소는 보드에 있는 개별 센서의 속성을 제공합니다.예를 들어, 보드에는 온도, 팬 속도 및 전압 센서가 포함되어 있을 수 있습니다.

베이스보드 관리 컨트롤러

다음 항목도 참조하십시오.대역외 관리 » 구현
서버 메인보드의 단일 칩으로 BMC를 완전히 통합

베이스보드 관리 컨트롤러(BMC)는 IPMI 아키텍처의 인텔리전스를 제공합니다.컴퓨터메인보드(일반적으로 서버)에 내장된 전용 마이크로 컨트롤러입니다.BMC는 시스템 관리 소프트웨어와 플랫폼 하드웨어 간의 인터페이스를 관리합니다.BMC에는 전용 펌웨어와 RAM이 있습니다.

컴퓨터 시스템에 내장된 다양한 유형의 센서온도, 냉각속도, 전원 상태, 운영 체제(OS) 상태 등의 파라미터를 BMC에 보고합니다.BMC는 센서를 감시하고 파라미터 중 하나가 사전 설정된 제한 범위 내에 있지 않은 경우 네트워크를 통해 시스템 관리자에게 경보를 전송할 수 있습니다.이는 시스템 장애가 발생할 가능성을 나타냅니다.관리자는 리모트로 BMC와 통신하여 시스템 리셋이나 전원 재투입 등의 수정 조치를 취할 수도 있습니다.예를 들어, 행업한 OS를 재실행시키기 위해서입니다.이러한 기능에 의해, 시스템의 총소유 코스트가 삭감됩니다.

IPMI 버전 2.0에 준거한 시스템은 시리얼 오버 LAN을 통해 통신할 수도 있습니다.이것에 의해, 시리얼 콘솔의 출력을 LAN 경유로 리모트로 표시할 수 있습니다.IPMI 2.0을 실장하고 있는 시스템에는, 통상, KVM over IP, 리모트 가상 미디어, 대역외 임베디드 Web 서버 인터페이스 기능도 있습니다만, 엄밀하게 말하면, 이것들은 IPMI 인터페이스 표준의 범위외입니다.

BMC에 대한 물리 인터페이스에는 SMBuse, RS-232 시리얼 콘솔, 주소 및 데이터 회선, IPMB 등이 있으며, 이를 통해 BMC는 시스템 내의 다른 관리 컨트롤러로부터의 IPMI 요구 메시지를 수신할 수 있습니다.

BMC로의 직접 시리얼 접속은 접속 자체가 안전하기 때문에 암호화되지 않습니다.BMC over LAN 에의 접속에서는, 유저의 시큐러티상의 문제에 따라, 암호화를 사용하는 경우와 사용하지 않는 경우가 있습니다.

BMC를 폐쇄형 [5][6][7][8]인프라스트럭처로 취급하는 일반적인 보안에 대한 우려가 높아지고 있습니다.OpenBMC는 Linux Foundation Collaborative 오픈 소스 BMC [9]프로젝트입니다.

보안.

이력 문제

2013년 7월 2일 Rapid7은 최신 [10]IPMI 2.0 프로토콜 및 다양한 벤더의 구현에 대한 보안 침투 테스트 가이드를 발표했습니다.

2013년 일부 소스에서는 BMC([11][12]Baseboard Management Controller)의 설계 및 취약성과 관련된 보안 문제를 이유로 이전 버전의 IPMI를 [5]사용하지 말 것을 권고했습니다.

다만, 다른 관리 인터페이스와 같이, 베스트 시큐러티 프랙티스에 의해서, IPMI 관리 포토를 전용의 관리 LAN 또는 신뢰할 수 있는 [13]관리자에 한정되는 VLAN 에 배치할 필요가 있습니다.

최신 IPMI 사양 보안 향상

IPMI 사양은 RAKP+ 및 보다 강력한 암호로 갱신되었으며,[14] 계산상으로는 해독할 수 없습니다.그 결과 벤더는 이러한 취약성을 [citation needed]수정하는 패치를 제공하고 있습니다.

DMTF 조직은 Redfish라고 불리는 안전하고 확장성이 뛰어난 인터페이스 사양을 개발하여 최신 데이터센터 [15]환경에서 작동합니다.

잠재적인 솔루션

독자적인 실장에 따라서는, IPMI 규격 이외의 솔루션이 존재할 가능성이 있습니다.디폴트의 쇼트 패스워드, 즉 「암호 0」해킹의 사용은, 데이터 센터나 중간 규모에서 대규모 전개에 있어서의 일반적인 SSL 경유 인증, 인가, 어카운팅에 RADIUS 서버를 사용하면 간단하게 극복할 수 있습니다.사용자의 RADIUS 서버는 FreeRADIUS/OpenLDAP 또는 Microsoft Active Directory 및 관련 서비스를 사용하여 LDAP 데이터베이스에 AAA를 안전하게 저장하도록 설정할 수 있습니다.

역할 기반 액세스는 더 높은 역할에 대한 제한을 늘림으로써 현재 및 미래의 보안 문제에 대응할 수 있는 방법을 제공합니다.역할 기반 액세스는 다음 3가지 역할을 사용하여 지원됩니다.관리자, 오퍼레이터 및 사용자.

전체적으로 사용자 역할은 BMC에 대한 읽기 전용 액세스 권한을 가지며, 전원 재투입이나 메인보드상의 메인 CPU 표시 또는 로그인 등의 리모트 제어 기능은 없습니다.따라서 사용자 역할을 가진 해커는 기밀 정보에 대한 접근권이 없으며 시스템에 대한 제어권도 없습니다.User 역할은 일반적으로 SNMP 경보가 SNMP Network Monitoring Software에 의해 수신된 후 센서 판독값을 모니터링하기 위해 사용됩니다.

오퍼레이터 역할은 드물게 시스템이 행업했을 때 NMI 크래시/코어 덤프 파일을 생성하고 시스템을 재부팅하거나 전원을 껐다 켜기 위해 사용됩니다.이 경우 오퍼레이터는 크래시/코어 덤프 파일을 수집하기 위해 시스템 소프트웨어에 액세스할 수도 있습니다.

Administrator 역할은 시스템 시운전 중 최초 설치 시 BMC를 설정하기 위해 사용됩니다.

따라서 LDAP/RADIUS에서 오퍼레이터 및 관리자 역할의 사용을 디세블로 하고 LDAP/RADIUS 관리자가 필요한 경우에만 활성화하는 것이 좋습니다.예를 들어, RADIUS 에서는, 롤의 설정을 Auth-Type 으로 변경할 수 있습니다.

Auth-Type : = 거부

이렇게 하면 사용자 이름이 RADIUS 서버에 의해 거부되기 때문에 RAKP 해시 공격이 성공할 수 없습니다.

버전 이력

IPMI 표준 사양은 다음과 같은 [16][17]몇 번의 반복을 통해 발전해 왔습니다.

  • v1.0은 1998년 9월 16일에 발표되었습니다.기본 사양
  • 2001년 2월 21일에 발행된 v1.5: IPMI over LAN, IPMI over Serial/Modem, LAN Alerting 등의 기능이 추가되었습니다.
  • 2004년 2월 12일 발행된 v2.0: Serial over LAN, Group Managed Systems, Enhanced Authentication, Firmware Firewall, VLAN 지원 등의 기능이 추가되었습니다.
  • v2.0 리비전 1.1, 2013년 10월 1일 발행: 에라타, 설명 및 부록에 대한 수정과 IPv6 어드레싱 지원 추가
  • v2.0 리비전 1.1 에라타 7, 2015년 4월 21일 발행: 에라타, 설명, 부록에 대한 개정

실장

「 」를 참조해 주세요.

레퍼런스

  1. ^ "Supermicro IPMI - What is it and what can it do for you?". Retrieved 27 February 2018.
  2. ^ 인텔리전트 플랫폼 관리 인터페이스 개요
  3. ^ "Intelligent Platform Management Interface; Adopters list". Intel. Retrieved 9 August 2014.
  4. ^ Chernis, P J (1985). "Petrographic analyses of URL-2 and URL-6 special thermal conductivity samples". doi:10.4095/315247. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  5. ^ a b "The Eavesdropping System in Your Computer - Schneier on Security". Schneier.com. 2013-01-31. Retrieved 2013-12-05.
  6. ^ "InfoSec Handlers Diary Blog - IPMI: Hacking servers that are turned "off"". Isc.sans.edu. 2012-06-07. Retrieved 2015-05-29.
  7. ^ Goodin, Dan (2013-08-16). ""Bloodsucking leech" puts 100,000 servers at risk of potent attacks". Arstechnica.com. Retrieved 2015-05-29.
  8. ^ Anthony J. Bonkoski; Russ Bielawski; J. Alex Halderman (2013). "Illuminating the Security Issues Surrounding Lights-Out Server Management.Usenix Workshop on Offensive Technologies" (PDF). Usenix.org. Retrieved 2015-05-29.
  9. ^ "OpenBMC Project Community Comes Together at The Linux Foundation to Define Open Source Implementation of BMC Firmware Stack - The Linux Foundation". The Linux Foundation. 2018-03-19. Retrieved 2018-03-27.
  10. ^ "Metasploit: A Penetration Tester's Guide to IPMI and BMCs". Rapid7.com. 2013-07-02. Retrieved 2013-12-05.
  11. ^ "Authentication Bypass Vulnerability in IPMI 2.0 RAKP through the use of cipher zero". websecuritywatch.com. 2013-08-23. Retrieved 2013-12-05.
  12. ^ Dan Farmer (2013-08-22). "IPMI: Freight train to hell" (PDF). fish2.com. Retrieved 2013-12-05.
  13. ^ Kumar, Rohit (2018-10-19). "Basic BMC and IPMI Management Security Practices". ServeTheHome. Retrieved 2019-12-23.
  14. ^ "IPMI Specification, V2.0, Rev. 1.1: Document". Intel. Retrieved 2022-06-11.
  15. ^ "Redfish: A New API for Managing Servers". InfoQ. Retrieved 2022-06-11.
  16. ^ "Intelligent Platform Management Interface: What is IPMI?". Intel. Retrieved 9 August 2014.
  17. ^ "Intelligent Platform Management Interface; Specifications". Intel. Retrieved 9 August 2014.
  18. ^ IPMI - Ver2.0 Rev1.1 Erata 7

외부 링크

Wikimedia Commons에는 인텔리전트 플랫폼 관리 인터페이스와 관련된 미디어가 있습니다.