Tak v první řadě pro iDRAC je prakticky vždy dedikovaný síťový interface, který jinak nelze nijak využít. Nijak. V OS ho neuvidíte a nijak ho tam nedostanete. To, myslím si, dostatečně zajišťuje oddělení vrstvy OS od vrstvy iDRAC.
Jediný způsob, jak zařídit komunikaci mezi iDRAC a OS, je Dell ISM (Idrac Service Module). Komunikace se řeší přes virtuální dvojici síťových interface na Link-Local adresách, a je pro ni třeba mít aktivní příslušné nastavení v iDRAC, a v OS nainstalovanou službu ISM, která si nahodí virtuální rozhraní pro komunikaci.
Ale i v případě instalace/existence ISM nemáte žádný přístup k management interface iDRAC. Dell designoval iDRAC jako zcela izolovaný nástroj pro low-level management serveru (dnes tam můžete dělat úplně totéž co v BIOSu, ve správě řadiče RAID, ve správě síťovek apod.), a ve výchozím stavu nelze nijak z OS k iDRAC přistoupit.
Samozřejmě může existovat vektor útoku na samotný iDRAC, na jeho FW, ale nemyslím si, že by takový existoval přímo z OS.
Vzhledem k tomu, že iDRAC umožňuje nastavit pevně daný set IP adres, ze kterých můžete na management interface přistupovat, tak je možno velmi přesně nastavit pravidla pro přístup zvenčí.
Dále se předpokládá, že management síť s iDRAC je izolovaná od všeho ostatního, a vstup do ní se realizuje přes firewall, a přes nějaký AAA mechanismus (např.: RADIUS).
Veškerý odchozí provoz, zdrojovaný z IP iDRACu, je zakázán, povolen jsou pouze směry SMTP server (notifikace) a interní mirror updatů pro daný typ/model serveru. NTP, DNS a další podobné služby jsou pro management interface zbytné, a jsou tedy jednak zakázány, a druhak blokovány.
Dále autentizace k iDRAC umožňuje používat adresářové nebo LDAP služby, takže můžete mít přístup do iDRAC svázaný s vaším AD/LDAP atd.
Za velké zlo považujeme nástroj OpenManage Server Administrator pro Windows, který se instaluje do OS, a má (po autentizaci a autorizaci uživatele) přímý přístup ke konfiguraci serveru (byť omezený oproti iDRAC). To už "smrdí", pryč s tím, nedává to zvlášť v případě Enterprise licence k iDRAC vůbec žádný smysl. Ale u některých "pre-install" Windows na Dell serverech je bohužel tato věc už rovnou nainstalovaná.
Pokud mám hovořit sám za svoji praxi, tak iDRAC zrovna není to, co bychom považovali za potenciální vektor útoku. Je třeba si uvědomit,, že iDRAC slouží v naprosté většině ke konfiguraci serveru na začátku jeho životního cyklu, poté k pravidelným updatům firmware, a pro disaster recovery účely v případě, že selže OS serveru a není jisté, co se děje. Každopádně to není určitě věc, ke které by se měl někdo připojovat obden, nebo pravidelně, a pokud se obejdete bez notifikací z iDRAC, je možné v ultra paranoidním řešení i mít trvale shozený port, do kterého je iDRAC připojený, protože na chod serveru to nemá žádný vliv. Takový přístup jsem zažil v praxy, a upřímně řečeno, to už mi přijde poněkud přehnané, hodně z kategorie "security by obscurity".
Za mě se určitě iDRACu nebojte, jeho výhody, přednosti a možnosti značně převyšují možná rizika.