Suchen

Definition Was ist Out-of-Band Management (OoB)?

Out-of-Band Management ist ein Konzept zur Fernwartung von Netzwerkgeräten oder IT-Systemen. Es nutzt für den Zugriff nicht die Netzwerke, die die Systeme zur normalen Datenübertragung verwenden, sondern dedizierte Verbindungen außerhalb dieser Kommunikationskanäle. Es kommen beispielsweise serielle Einwahlverbindungen, Mobilfunkverbindungen oder separate Management-LANs und -WANs zum Einsatz.

Firma zum Thema

Die wichtigsten IT-Fachbegriffe verständlich erklärt.
Die wichtigsten IT-Fachbegriffe verständlich erklärt.
(Bild: © aga7ta - stock.adobe.com)

Der Begriff Out-of-Band stammt ursprünglich aus dem Funkverkehrsbereich. Er bedeutet "außerhalb des Frequenzbereichs oder des Funkbands". Im Zusammenhang mit der Fernwartung von Netzwerkgeräten und IT-Systemen steht Out-of-Band Management für eine Management-Methode, die nicht die für die normale Kommunikation und Datenübertragung genutzten Netzwerkverbindungen, sondern separate Kommunikationskanäle verwendet.

Zwischen der zentralen Managementstation und den zu überwachenden oder zu administrierenden Systemen wird eine dedizierte Verbindung abseits des normalen Datenübertragungsnetzes aufgebaut. Dies bietet den Vorteil, dass die Fernwartungsverbindung auch zur Verfügung steht, wenn das primäre Netzwerk ausgefallen ist oder Netzwerkgeräte heruntergefahren, ausgeschaltet oder gestört sind. Die Fernwartung funktioniert unabhängig vom Betriebszustand des Geräts und bietet ähnliche Möglichkeiten wie ein physikalischer Zugriff direkt vor Ort.

Je nach OoB-Management-Lösung können Systeme heruntergefahren oder neu gestartet, Firmware- oder BIOS-Konfigurationen und Updates durchgeführt, Parameter wie Prozessortemperaturen oder Lüfterdrehzahlen ausgelesen oder Betriebssysteme neu installiert werden. Der Administrator hat Zugriff auf eine permanente Managementverbindung.

Bei den OoB-Verbindungen kann es sich beispielsweise um serielle Einwahlverbindungen, Mobilfunkverbindungen oder separate Management-LANs oder -WANs handeln. Out-of-Band Management ist ein gegensätzlicher Ansatz zum In-Band Management. Das In-Band Management erfolgt über das normale Arbeitsnetzwerk und erfordert, dass die Systeme betriebsbereit sind und ihre Netzwerkfunktion erfüllen.

Eine typische Out-of-Band-Management-Methode ist das Lights out Management (LoM) professioneller Serversysteme. Es ist über spezielle Einschubkarten realisiert, die in die zu überwachenden Server einzubauen sind. Sie verfügen über eine eigene Stromversorgung sowie separate Netzwerkverbindungen und arbeiten völlig unabhängig vom Server. Für das Lights out Management existiert mit dem Intelligent Platform Management Interface (IPMI) ein offener und herstellerunabhängiger Standard.

Abgrenzung des Out-of-Band Managements vom In-Band Management

In-Band Management und Out-of-Band Management sind beides Methoden zur Fernwartung von Systemen, die über Netzwerkverbindungen auf die zu managenden Komponenten zugreifen. Sie unterscheiden sich in der Art des Zugriffs, den genutzten Netzwerkverbindungen und den unterstützten Möglichkeiten deutlich.

Das In-Band Management ist abhängig vom Betriebszustand des zu managenden Rechners und dessen Netzwerkverbindung. Es benötigt eine zuvor auf diesem System installierte Software oder eine vom Betriebssystem unterstützte Software-Fernwartungskomponente. Das Betriebssystem des Rechners muss gestartet, die Managementsoftware aktiv und das Netzwerk verfügbar sein. Die Verbindung wird über das primäre Kommunikationsnetzwerk hergestellt.

In-Band-Management-Lösungen sind im Vergleich zu OoB-Lösungen günstiger und mit weniger Hardwareaufwand zu realisieren. Es sind keine separaten Netzwerkverbindungen aufzubauen oder Hardware-Module in oder außerhalb des zu managenden und zu überwachenden Systems notwendig. Nachteil des In-Band Managements ist, dass es nicht unabhängig vom Zustand und der Netzwerkverbindung des zu managenden Systems ausführbar ist. Es bietet keinen direkten Zugriff beispielsweise auf das BIOS oder auf Hardwareparameter und ist nicht mit einem physischen Zugriff auf den Rechner vergleichbar.

Verschiedene Arten und Implementierungen des Out-of-Band Managements

Es existieren zahlreiche verschiedene Möglichkeiten, das Out-of-Band Management zu realisieren. Als separate Management-Netzwerkverbindungen sind beispielsweise folgende nutzbar:

  • serielle Verbindungen
  • analoge oder digitale Einwahlverbindungen
  • 2G-, 3G-, 4G- oder 5G-Mobilfunkverbindungen
  • dedizierte LAN-, WLAN- oder WAN-Management-Netzwerke

Viele Rechner, Netzwerkkomponenten oder IT-Systeme besitzen ein serielles Interface in Form eines Konsolenports (zum Beispiel USB- oder RS232-Konsolenports), über den der Zugang zu den Geräten möglich ist, selbst wenn das Datennetzwerk gestört ist. Diese Konsolenports sind aus der Ferne über Einwahl-Modems oder über einen mit einem Management-Netzwerk verbundenen Terminal-Server erreichbar. Darüber hinaus sind OoB-Lösungen verfügbar, die den Zugang zu den zu managenden Geräten über eingebaute Remote-Management-Karten mit separater Stromversorgung und eigenem Netzwerkanschluss erlauben.

Funktionen des Out-of-Band Managements

Out-of-Band-Management-Lösungen unterscheiden sich in ihrem Funktionsumfang teils deutlich. Typische Funktionen vieler Lösungen sind:

  • Ein- und Ausschalten, Herunterfahren und Neustarten des Geräts
  • Auslesen von Hardwareparametern wie Prozessortemperatur, Versorgungsspannung oder Lüfterdrehzahl
  • Remote-Desktop-Funktionen: übertragen von Bildschirminhalten, Maus- und Tastaturbefehlen
  • Konfigurieren oder Updaten der Firmware oder des BIOS
  • Installation des Betriebssystems
  • Wiederherstellen des Systems
  • Konfiguration der Systemeinstellungen
  • Zugriff auf Speicherlaufwerke
  • Zugang zum Command Line Interface (CLI)
  • Hardwareinventarisierung
  • Auslesen von Logfiles
  • Protokollierung ausgeführter Aktionen
  • Anzeige oder grafische Darstellung von Statusmeldungen

Lights out Management (LoM) als typische Methode des Out-of-Band Managements

Das so genannte Lights out Management (LoM) ist eine typische Out-of-Band-Management-Methode, die üblicherweise bei professionell betriebenen Servern zum Einsatz kommt. Der Name leitet sich davon ab, dass für das Management eines Systems kein Licht im Rechenzentrum angeschaltet sein muss. Übertragen bedeutet das, dass der Administrator nicht vor Ort sein muss und keinen physischen Zugriff auf das Gerät benötigt, um es zu administrieren.

Der Administrator führt sämtliche Tätigkeiten aus der Ferne aus, dennoch ist der Funktionsumfang ähnlich als wäre er selbst vor Ort oder hätte physischen Zugriff. Das Lights out Management wird über spezielle Einschubkarten für die zu managenden Geräte realisiert. Sie verfügen über eine eigene Stromversorgung und Netzwerkverbindungen. Die Karten arbeiten unabhängig vom Betriebszustand des Servers und sind über eine dedizierte Out-of-Band-Netzwerkverbindung erreichbar. Zahlreiche Hersteller wie Intel, HP (Hewlett-Packard), NEC oder Dell bieten für ihre Serversysteme proprietäre oder standardisierte LoM-Lösungen an.

Intelligent Platform Management Interface (IPMI) – offener, herstellerunabhängiger Standard für das OoB-Management

Ein offener, herstellerunabhängiger Standard für das OoB-Management ist das Intelligent Platform Management Interface (IPMI). Der Standard definiert Schnittstellen der Server-Hardware und -Firmware, über die sich die Server mit Hilfe eines Baseboard Management Controllers (BMC) aus der Ferne überwachen und administrieren lassen. Entwickelt wurde IPMI von den Herstellern Intel, HP, NEC und Dell. Die erste Version IPMI v1.0 erschien 1998. Die neueste Version IPMI v2.0 Revision 1.1 Errata 7 stammt aus dem Jahr 2015.

Wichtige Komponente einer IPMI-Lösung ist der Baseboard Management Controller (BMC). Er fungiert als Interface zwischen Management-Software und der zu administrierenden oder zu überwachenden Hardware. Die Verbindung zu den verschiedenen Hardware-Komponenten, Sensoren und Kommunikationsschnittstellen stellt der BMC unter anderem über den Intelligent Platform Management Bus (IPMB) her. 2015 wurde mit Redfish Scalable Platforms Management API (kurz: Redfish), ein Nachfolgestandard für IPMI, veröffentlicht.

Sicherheitsaspekte des Out-of-Band Managements

Das Out-of-Band Management eignet sich hervorragend für die Fernverwaltung oder die Fernüberwachung und bietet für Administratoren eine große Arbeitserleichterung. Gleichzeitig stellt es aber ein zusätzliches Risiko für die Sicherheit der zu managenden Systeme dar. Hat jemand Zugriff auf das OoB-Management, kann er sämtliche auf Betriebssystemebene getroffenen Sicherheitsmaßnahmen eines IT-Systems umgehen. Da das OoB-Management betriebssystemunabhängig arbeitet, kann das zu managende System Zugriffe nicht erkennen oder verhindern. Angreifer mit Zugang zum Out-of-Band Management haben quasi physischen Zugang zum IT-System. Umso wichtiger ist es, das OoB-Management und die OoB-Management-Verbindungen gegenüber unbefugten Zugriffen abzusichern. Dementsprechend sind in den Lösungen Identity- und Access-Management-Funktionen sowie Netzwerksicherheitsfunktionen implementiert.

Vorteile des Out-of-Band Managements sind:

  • durchgängiger administrativer Fernzugriff auf kritische Komponenten wie Server, Switche, Router, Firewalls und andere
  • unabhängig vom Betriebszustand des zu überwachenden Geräts oder der primären Datennetzverbindung
  • keine lokale Präsenz notwendig - reduziert den Aufwand und die Kosten der Administration
  • Funktionalität vergleichbar mit physischem Zugriff
  • direkter Zugriff auf Hardwarefunktionen oder -parameter
  • Neustarten und Herunterfahren von Systemen aus der Ferne möglich
  • zentrale Administration verteilt installierter IT-Systeme und Netzkomponenten möglich
  • viele Managementaufgaben lassen sich automatisieren
  • einfache Inventarisierung der Hardware und IT-Systeme

(ID:46832088)

Über den Autor