واجهة إدارة المنصة الذكية
واجهة إدارة المنصة الذكية ( IPMI ) هي مجموعة من مواصفات واجهة الحاسوب لنظام فرعي حاسوبي مستقل، توفر إمكانيات الإدارة والمراقبة بشكل منفصل عن وحدة المعالجة المركزية ( CPU ) والبرامج الثابتة ( BIOS أو UEFI ) ونظام التشغيل الخاص بالنظام المضيف . تُعرّف IPMI مجموعة من الواجهات التي يستخدمها مسؤولو النظام لإدارة أنظمة الحاسوب خارج نطاق الشبكة ومراقبة تشغيلها. على سبيل المثال، توفر IPMI طريقة لإدارة حاسوب قد يكون مطفأً أو غير مستجيب، وذلك باستخدام اتصال شبكي بالأجهزة بدلاً من نظام التشغيل أو واجهة تسجيل الدخول. ومن حالات الاستخدام الأخرى تثبيت نظام تشغيل مخصص عن بُعد. فبدون IPMI، قد يتطلب تثبيت نظام تشغيل مخصص وجود المسؤول فعليًا بالقرب من الحاسوب، وإدخال قرص DVD أو ذاكرة فلاش USB تحتوي على مُثبِّت نظام التشغيل ، وإكمال عملية التثبيت باستخدام شاشة ولوحة مفاتيح. أما باستخدام IPMI، فيمكن للمسؤول تحميل صورة ISO ، ومحاكاة قرص DVD الخاص بالتثبيت، وإجراء التثبيت عن بُعد. [ 1 ]
تتولى شركة إنتل قيادة هذه المواصفات ، وقد نُشرت لأول مرة في 16 سبتمبر 1998. وهي مدعومة من قبل أكثر من 200 شركة مصنعة لأنظمة الكمبيوتر ، مثل سيسكو ، وديل ، وهيوليت باكارد إنتربرايز ، وإنتل .
الوظائف
يُمكّن استخدام واجهة وبروتوكول موحدين برامج إدارة الأنظمة القائمة على بروتوكول IPMI من إدارة خوادم متعددة ومتباينة. وباعتباره مواصفة واجهة على مستوى الأجهزة تعتمد على الرسائل، يعمل بروتوكول IPMI بشكل مستقل عن نظام التشغيل ، مما يسمح للمسؤولين بإدارة النظام عن بُعد في حال عدم وجود نظام تشغيل أو برنامج إدارة النظام . وبالتالي، يمكن لوظائف بروتوكول IPMI العمل في أي من السيناريوهات الثلاثة التالية:
- قبل بدء تشغيل نظام التشغيل (مما يسمح، على سبيل المثال، بالمراقبة عن بعد أو تغيير إعدادات BIOS)
- عند إيقاف تشغيل النظام
- بعد تعطل نظام التشغيل أو النظام - السمة الرئيسية لـ IPMI مقارنةً بإدارة النظام داخل النطاق هي أنها تتيح تسجيل الدخول عن بُعد إلى نظام التشغيل باستخدام SSH
يمكن لمسؤولي النظام استخدام رسائل IPMI لمراقبة حالة النظام الأساسي (مثل درجات حرارة النظام، والفولتية، والمراوح، ووحدات التزويد بالطاقة، واختراق الهيكل)؛ وللاستعلام عن معلومات المخزون؛ ولمراجعة سجلات الأجهزة الخاصة بالحالات الخارجة عن النطاق؛ أو لتنفيذ إجراءات الاسترداد مثل إصدار طلبات من وحدة تحكم عن بُعد عبر نفس الاتصالات، على سبيل المثال إيقاف تشغيل النظام وإعادة تشغيله، أو تكوين مؤقتات المراقبة . كما يحدد المعيار آلية تنبيه للنظام لإرسال تنبيه حدث النظام الأساسي (PET) عبر بروتوكول إدارة الشبكة البسيط (SNMP).
يمكن إيقاف تشغيل النظام الخاضع للمراقبة، ولكن يجب توصيله بمصدر طاقة ووسيط مراقبة، عادةً ما يكون اتصالاً بشبكة محلية (LAN). يمكن لبروتوكول إدارة النظام الذكي (IPMI) العمل حتى بعد بدء تشغيل نظام التشغيل، حيث يعرض بيانات الإدارة وبنيتها لبرنامج إدارة النظام. يحدد IPMI فقط بنية وتنسيق الواجهات كمعيار، بينما قد تختلف التطبيقات التفصيلية. يمكن لتطبيق IPMI الإصدار 1.5 التواصل عبر اتصال LAN مباشر خارج النطاق أو اتصال تسلسلي ، أو عبر اتصال LAN جانبي مع عميل بعيد . يستخدم اتصال LAN الجانبي وحدة تحكم واجهة الشبكة (NIC) الخاصة باللوحة. هذا الحل أقل تكلفة من اتصال LAN مخصص، ولكنه يعاني من محدودية النطاق الترددي ومشكلات أمنية.
يمكن للأنظمة المتوافقة مع بروتوكول إدارة النظام عبر الإنترنت (IPMI) الإصدار 2.0 التواصل عبر منفذ تسلسلي على الشبكة المحلية (LAN) ، مما يسمح بعرض مخرجات وحدة التحكم التسلسلية عن بُعد عبر الشبكة المحلية. وتشمل الأنظمة التي تُطبّق بروتوكول IPMI 2.0 عادةً وظائف KVM عبر بروتوكول الإنترنت ، والوسائط الافتراضية عن بُعد ، وواجهة خادم الويب المدمجة خارج النطاق، مع العلم أن هذه الوظائف تقع خارج نطاق معيار واجهة IPMI.
DCMI (واجهة إدارة مركز البيانات) هو معيار مشابه يعتمد على IPMI ولكنه مصمم ليكون أكثر ملاءمة لإدارة مركز البيانات : فهو يستخدم الواجهات المحددة في IPMI، ولكنه يقلل من عدد الواجهات الاختيارية ويتضمن التحكم في تحديد الطاقة، من بين اختلافات أخرى.
مكونات IPMI

يتكون النظام الفرعي لإدارة النظام المتكاملة (IPMI) من وحدة تحكم رئيسية تُسمى وحدة التحكم الأساسية (BMC)، ووحدات تحكم إدارية أخرى موزعة على وحدات النظام المختلفة، تُعرف بوحدات التحكم الفرعية. تتصل وحدات التحكم الفرعية داخل نفس الهيكل بوحدة التحكم الأساسية (BMC) عبر واجهة النظام المسماة ناقل/جسر إدارة النظام المتكاملة الذكية (IPMB)، وهي تطبيق مُحسَّن لبروتوكول I²C (الدائرة المتكاملة البينية). تتصل وحدة التحكم الأساسية (BMC) بوحدات التحكم الفرعية أو بوحدة تحكم أساسية أخرى في هيكل آخر عبر ناقل أو جسر وحدة التحكم الأساسية الذكية (IPMC). يمكن إدارتها باستخدام بروتوكول التحكم بالإدارة عن بُعد (RMCP)، وهو بروتوكول سلكي متخصص مُحدد في هذه المواصفات. يُستخدم بروتوكول RMCP+ (وهو بروتوكول قائم على UDP يتميز بمصادقة أقوى من RMCP) لإدارة النظام المتكاملة (IPMI) عبر الشبكة المحلية (LAN).
يقوم العديد من الموردين بتطوير وتسويق رقائق BMC. قد تحتوي رقاقة BMC المستخدمة في التطبيقات المدمجة على ذاكرة محدودة، وتتطلب برمجيات ثابتة مُحسّنة لتنفيذ وظائف IPMI الكاملة. يمكن لرقائق BMC عالية التكامل توفير تعليمات معقدة، وتوفير وظائف خارج النطاق الكاملة لمعالج الخدمة. يتم توفير البرمجيات الثابتة التي تُنفذ واجهات IPMI من قِبل موردين مختلفين. يحتوي مستودع الوحدات القابلة للاستبدال في الموقع (FRU) على معلومات جرد، مثل مُعرّف المورد والشركة المُصنّعة، للأجهزة التي يُحتمل استبدالها. يوفر مستودع سجلات بيانات المستشعرات (SDR) خصائص المستشعرات الفردية الموجودة على اللوحة. على سبيل المثال، قد تحتوي اللوحة على مستشعرات لدرجة الحرارة، وسرعة المروحة، والجهد.
مدير إدارة ألواح القاعدة

تُوفّر وحدة التحكم في إدارة اللوحة الأم (BMC) الذكاء في بنية IPMI. وهي عبارة عن وحدة تحكم دقيقة متخصصة مُدمجة في اللوحة الأم للحاسوب ، وعادةً ما تكون خادمًا . تُدير وحدة التحكم في إدارة اللوحة الأم (BMC) واجهة الربط بين برامج إدارة النظام ومكونات النظام الأساسية. كما تمتلك وحدة التحكم في إدارة اللوحة الأم (BMC) برامج ثابتة وذاكرة وصول عشوائي (RAM) خاصة بها.
تُرسل أنواع مختلفة من أجهزة الاستشعار المُدمجة في نظام الحاسوب تقاريرها إلى وحدة التحكم الرئيسية (BMC) حول معايير مثل درجة الحرارة ، وسرعات مراوح التبريد ، وحالة الطاقة ، وحالة نظام التشغيل ، وغيرها. تراقب وحدة التحكم الرئيسية (BMC) أجهزة الاستشعار، ويمكنها إرسال تنبيهات إلى مسؤول النظام عبر الشبكة في حال تجاوز أي من هذه المعايير الحدود المُحددة مسبقًا، مما يُشير إلى احتمال وجود عطل في النظام. كما يُمكن للمسؤول التواصل عن بُعد مع وحدة التحكم الرئيسية (BMC) لاتخاذ بعض الإجراءات التصحيحية، مثل إعادة ضبط النظام أو فصل الطاقة عنه وإعادة تشغيله لإعادة تشغيل نظام التشغيل المُعلق. تُساهم هذه الإمكانيات في خفض التكلفة الإجمالية لامتلاك النظام.
يمكن للأنظمة المتوافقة مع بروتوكول إدارة النظام عبر الإنترنت (IPMI) الإصدار 2.0 التواصل عبر منفذ تسلسلي على الشبكة المحلية (LAN) ، مما يسمح بعرض مخرجات وحدة التحكم التسلسلية عن بُعد عبر الشبكة المحلية. وتشمل الأنظمة التي تُطبّق بروتوكول IPMI 2.0 عادةً وظائف KVM عبر بروتوكول الإنترنت ، والوسائط الافتراضية عن بُعد ، وواجهة خادم الويب المدمجة خارج النطاق، مع العلم أن هذه الوظائف تقع خارج نطاق معيار واجهة IPMI.
تتضمن الواجهات المادية لـ BMC وحدات SMBuses ، ووحدة تحكم تسلسلية RS-232 ، وخطوط العناوين والبيانات، وIPMB، مما يُمكّن BMC من قبول رسائل طلب IPMI من وحدات التحكم الإدارية الأخرى في النظام.
لا يتم تشفير الاتصال التسلسلي المباشر بوحدة التحكم في إدارة اللوحة الأم (BMC) لأن الاتصال نفسه آمن. أما الاتصال بوحدة التحكم في إدارة اللوحة الأم عبر الشبكة المحلية (LAN) فقد يستخدم التشفير أو لا، وذلك حسب متطلبات المستخدم الأمنية.
تُثار مخاوف بشأن الأمن العام لوحدات التحكم في إدارة الخوادم (BMCs)، باعتبارها جزءًا من البنية التحتية التي تتمتع بمستوى منخفض من الوصول والتحكم الواسع النطاق في الخوادم. وتعتمد تطبيقات الموردين على برامج مغلقة المصدر وبرمجيات احتكارية، مع قلة الشفافية أو انعدامها فيما يتعلق بكيفية بنائها والثغرات الأمنية التي تحتويها . [ 5 ] [ 6 ] [ 7 ] [ 8 ]
قد تقوم وحدة التحكم في إدارة اللوحة الأساسية (BMC) (وخاصة وحدات التحكم في إدارة اللوحة الأساسية من Aspeed) بدمج وحدة معالجة رسومات منخفضة المستوى (عادة ما تدعم فقط تسريع الأجهزة ثنائية الأبعاد) لأغراض العرض الأساسية والإدارة عن بعد.
OpenBMC هو مشروع تعاوني مجاني ومفتوح المصدر تابع لمؤسسة لينكس ، ويهدف إلى بناء برمجيات إدارة BMC شفافة وموثقة جيدًا ومختبرة، من شأنها التخفيف من هذه المشكلات. [ 9 ]
حماية
قضايا تاريخية
في 2 يوليو 2013، نشرت شركة Rapid7 دليلاً لاختبار اختراق الأمان لأحدث بروتوكول IPMI 2.0 وتطبيقاته من قبل مختلف الموردين. [ 10 ]
أشارت بعض المصادر في عام 2013 إلى عدم استخدام الإصدار الأقدم من بروتوكول إدارة النظام المتكامل (IPMI)، [ 5 ] وذلك بسبب مخاوف أمنية تتعلق بتصميم وحدات التحكم في إدارة اللوحة الأم (BMCs) ونقاط ضعفها. [ 11 ] [ 12 ]
ومع ذلك، وكما هو الحال مع أي واجهة إدارة أخرى، فإن أفضل ممارسات الأمان تقتضي وضع منفذ إدارة IPMI على شبكة LAN مخصصة للإدارة أو شبكة VLAN مقيدة بالمسؤولين الموثوق بهم. [ 13 ]
أحدث تحسينات أمنية في مواصفات IPMI
تم تحديث مواصفات IPMI باستخدام RAKP+ وخوارزمية تشفير أقوى يصعب اختراقها حسابيًا. [ 14 ] ونتيجة لذلك، قدم الموردون تحديثات لمعالجة هذه الثغرات الأمنية.
قامت منظمة DMTF بتطوير مواصفات واجهة آمنة وقابلة للتوسع تسمى Redfish للعمل في بيئات مراكز البيانات الحديثة. [ 15 ]
الحلول المحتملة
توجد بعض الحلول المحتملة خارج معيار IPMI، وذلك اعتمادًا على التطبيقات الخاصة. يمكن التغلب بسهولة على استخدام كلمات المرور القصيرة الافتراضية، أو ما يُعرف بـ "التشفير 0"، باستخدام خادم RADIUS للمصادقة والترخيص والمحاسبة (AAA) عبر بروتوكول SSL، كما هو شائع في مراكز البيانات أو أي بيئة نشر متوسطة إلى كبيرة الحجم. يمكن تهيئة خادم RADIUS الخاص بالمستخدم لتخزين بيانات AAA بشكل آمن في قاعدة بيانات LDAP باستخدام FreeRADIUS / OpenLDAP أو Microsoft Active Directory والخدمات ذات الصلة.
يُتيح نظام الوصول القائم على الأدوار الاستجابة لمشاكل الأمان الحالية والمستقبلية من خلال زيادة القيود المفروضة على الأدوار العليا. ويدعم هذا النظام ثلاثة أدوار متاحة: المدير، والمشغل، والمستخدم.
بشكل عام، يمتلك دور المستخدم صلاحية قراءة فقط لوحدة التحكم في إدارة اللوحة الأم (BMC)، ولا يملك أي صلاحيات تحكم عن بُعد، مثل إعادة تشغيل الجهاز أو إمكانية عرض أو تسجيل الدخول إلى وحدة المعالجة المركزية الرئيسية على اللوحة الأم. وبالتالي، لا يملك أي مخترق يمتلك دور المستخدم أي صلاحية للوصول إلى المعلومات السرية، ولا أي سيطرة على النظام. يُستخدم دور المستخدم عادةً لمراقبة قراءات المستشعرات، بعد تلقي تنبيه SNMP من برنامج مراقبة شبكة SNMP.
يُستخدم دور المشغل في الحالات النادرة التي يتعطل فيها النظام، وذلك لإنشاء ملف تفريغ الذاكرة/ملف الأعطال (NMI) وإعادة تشغيل النظام أو فصل الطاقة عنه. في هذه الحالة، سيتمكن المشغل أيضًا من الوصول إلى برامج النظام لجمع ملف تفريغ الذاكرة/ملف الأعطال.
يتم استخدام دور المسؤول لتكوين وحدة التحكم في إدارة اللوحة الأم (BMC) عند التشغيل الأول أثناء عملية تشغيل النظام عند تثبيته لأول مرة.
لذا، فإن أفضل الممارسات وأكثرها حكمة هي تعطيل استخدام أدوار المشغل والمسؤول في LDAP/RADIUS، وتفعيلها فقط عند الحاجة من قِبل مسؤول LDAP/RADIUS. على سبيل المثال، في RADIUS، يمكن تغيير إعداد Auth-Type لأحد الأدوار إلى:
نوع المصادقة := رفض
سيؤدي القيام بذلك إلى منع هجمات التجزئة RAKP من النجاح لأن اسم المستخدم سيتم رفضه بواسطة خادم RADIUS.
سجل الإصدارات
لقد تطورت مواصفات معيار IPMI من خلال عدد من التكرارات: [ 16 ] [ 17 ]
- تم الإعلان عن الإصدار 1.0 في 16 سبتمبر 1998: المواصفات الأساسية
- الإصدار 1.5، نُشر في 21 فبراير 2001: تمت إضافة ميزات تشمل IPMI عبر الشبكة المحلية، وIPMI عبر المنفذ التسلسلي/المودم، وتنبيهات الشبكة المحلية
- الإصدار 2.0، نُشر في 12 فبراير 2004: ميزات إضافية تشمل الاتصال التسلسلي عبر الشبكة المحلية، والأنظمة المُدارة جماعيًا، والمصادقة المُحسّنة، وجدار الحماية الثابت، ودعم الشبكات المحلية الظاهرية (VLAN).
- الإصدار 2.0، المراجعة 1.1، نُشر في 1 أكتوبر 2013: تم تعديله لتصحيح الأخطاء، وتوضيح بعض النقاط، وإضافة ملحقات، بالإضافة إلى دعم عناوين IPv6
- v2.0 المراجعة 1.1 الأخطاء 7، المنشورة في 21 أبريل 2015: تم تعديلها للأخطاء، التوضيحات، الإضافات [ 18 ]
التطبيقات
- HPE Integrated Lights-Out ، تطبيق HP لـ IPMI
- Dell DRAC ، تطبيق Dell لبروتوكول IPMI
- إدارة Supermicro الذكية ، تطبيق SMCI لـ IPMI
- محول المشرف عن بُعد من IBM ، ومنتجات إدارة IBM خارج النطاق، بما في ذلك تطبيقات IPMI
- MegaRAC ، منتج إدارة خارج النطاق من AMI وبرنامج IPMI الثابت الخاص بمصنّع المعدات الأصلية
- برنامج إدارة Avocent MergePoint المدمج، وهو برنامج ثابت لـ IPMI خاص بالشركات المصنعة للمعدات الأصلية
- وحدة التحكم الإدارية المتكاملة من سيسكو (IMC)، وهي تطبيق سيسكو لبروتوكول إدارة البنية التحتية المتكاملة (IPMI).
- لينوفو إكس كلاريتي ، تطبيق لينوفو لتقنية إدارة النظام المتكاملة (IPMI).
انظر أيضاً
- تنسيق التنبيه القياسي (ASF)، وهو معيار آخر لإدارة المنصات
- بنية سطح المكتب والهواتف المحمولة لأجهزة النظام (DASH)، وهي معيار آخر لإدارة المنصات
- تقنية الإدارة النشطة من إنتل (AMT)، وهي منتج إدارة خارج النطاق من إنتل، كبديل لـ IPMI
- بروتوكول نقل مكونات الإدارة (MCTP)، وهو بروتوكول منخفض المستوى يُستخدم للتحكم في مكونات الأجهزة
- بنية إدارة المنصة المفتوحة (OPMA)، معيار إدارة النطاق الخارجي لشركة AMD
- معالج خدمة النظام ، في بعض أجهزة SPARC
- مُهيأ للإدارة (WfM)
مراجع
- ↑ "Supermicro IPMI - ما هو وماذا يمكن أن يقدم لك؟" . مؤرشف من الأصل بتاريخ 27 فبراير 2019. تم الاطلاع عليه بتاريخ 27 فبراير 2018 .
- ↑ مقدمة إلى واجهة إدارة المنصة الذكية
- ↑ "واجهة إدارة المنصة الذكية؛ قائمة المستخدمين" . إنتل . تم الاطلاع عليه بتاريخ 9 أغسطس 2014 .
- ↑ تشيرنيس، بي جيه (1985). "التحليلات البتروغرافية لعينات الموصلية الحرارية الخاصة URL-2 و URL-6" . doi : 10.4095/315247 .
{{cite journal}}يتطلب الاستشهاد بالمجلة ( مساعدة )|journal= - 1 2 "نظام التنصت في جهاز الكمبيوتر الخاص بك - شناير حول الأمن" . Schneier.com . 31 يناير 2013. تم الاطلاع عليه بتاريخ 5 ديسمبر 2013 .
- ↑ مدونة يوميات معالجي أمن المعلومات - IPMI: اختراق الخوادم التي تم إيقاف تشغيلها" . Isc.sans.edu . 2012-06-07 . تم الاطلاع عليه بتاريخ 2015-05-29 .
- ^ جودين ، دان (2013/08/16). ""دودة مصاصة للدماء" تُعرّض 100 ألف خادم لخطر هجمات قوية . Arstechnica.com . تاريخ الاطلاع: 29 مايو 2015 .
- ↑ أنتوني ج. بونكوسكي؛ روس بيلاوسكي؛ ج. أليكس هالدرمان (2013). "تسليط الضوء على قضايا الأمن المحيطة بإدارة الخوادم عن بُعد. ورشة عمل يوزنكس حول التقنيات الهجومية" (ملف PDF) . Usenix.org . تاريخ الاسترجاع: 29 مايو 2015 .
- ↑ "اجتماع مجتمع مشروع OpenBMC في مؤسسة لينكس لتحديد تطبيق مفتوح المصدر لحزمة برامج BMC الثابتة - مؤسسة لينكس" . مؤسسة لينكس . 19 مارس 2018. تاريخ الاسترجاع : 27 مارس 2018 .
- ↑ "Metasploit: دليل مختبر الاختراق لـ IPMI وBMCs" . Rapid7.com . 2013-07-02 . تم الاطلاع عليه بتاريخ 2013-12-05 .
- ↑ "ثغرة تجاوز المصادقة في بروتوكول IPMI 2.0 RAKP باستخدام التشفير الصفري" . websecuritywatch.com . 23 أغسطس 2013. تاريخ الاطلاع: 5 ديسمبر 2013 .
- ↑ دان فارمر (22 أغسطس 2013). "IPMI: قطار شحن إلى الجحيم" (ملف PDF) . fish2.com . تاريخ الاسترجاع: 5 ديسمبر 2013 .
- ↑ كومار، روهيت (19 أكتوبر 2018). "ممارسات الأمان الأساسية لإدارة BMC وIPMI" . ServeTheHome . تم الاطلاع عليه بتاريخ 23 ديسمبر 2019 .
- ↑ "مواصفات IPMI، الإصدار 2.0، المراجعة 1.1: وثيقة" . إنتل . تم الاطلاع عليه بتاريخ 11-06-2022 .
- ↑ "Redfish: واجهة برمجة تطبيقات جديدة لإدارة الخوادم" . InfoQ . تم الاطلاع عليه بتاريخ 11 يونيو 2022 .
- ↑ "واجهة إدارة المنصة الذكية: ما هي IPMI؟" . إنتل . تم الاطلاع عليه بتاريخ 9 أغسطس 2014 .
- ↑ "واجهة إدارة المنصة الذكية؛ المواصفات" . إنتل . تم الاطلاع عليه بتاريخ 9 أغسطس 2014 .
- ↑ IPMI - الإصدار 2.0 المراجعة 1.1 تصحيحات 7
روابط خارجية
- موقع إنتل للموارد التقنية لـ IPMI
- مقارنة بين مشاريع البرمجيات مفتوحة المصدر الشائعة لـ IPMI
- GNU FreeIPMI
- ipmitool
- ipmiutil
- OpenIPMI
- مشروع coreIPM - برنامج ثابت مفتوح المصدر لإدارة اللوحة الأم IPMI
- IPMeye - وصول مركزي خارج النطاق للمؤسسات / جزء من منصة OneDDI الخاصة بشركة VendorN
- معايير أجهزة الكمبيوتر
- إدارة النظام
- إدارة خارج النطاق
- مقدمات متعلقة بالحاسوب في عام 1998
