Пару лет назад в одной динамично развивающейся компании было приобретено некоторое количество серверов Cisco Web Security Appliance (WSA) S695 под задачу построения управляемой инфраструктуры прокси серверов. Под мою опеку попали два таких сервера довольно не слабой конфигурации: 2 процессора Intel Xeon Gold 6126, 64GB ОЗУ PC4-21300, контроллер RAID SAS 12G c 4GB кеша, расширенная корзина с 16 дисками HDD SAS 12G 600GB 10K, дублированное питание/вентиляторы горячей замены и прочие прелести в корпусе RM 2U. На борту этих серверов была предустановлена среда управления на базе специализированной ОС Cisco AsyncOS. Лицензировалось всё это дело по временно-действующей подписке и функции прокси работали только либо по активированной действующей лицензии, либо в рамках краткосрочного Grace Period. И вот наступил 2022 год … и Cisco, как и ряд других "закадычных друзей", громко хлопнула дверью, прекратив отгрузки, поддержку и активацию лицензий. Действующие ранее лицензии на наших серверах истекли, прошёл Grace Period и функции прокси престали работать, превратив серверы WSA в "чемодан без ручки". Не беда, подумали мы… железо ещё пока модное и вполне бодрое, поставим на него другую ОС и будем использовать под альтернативные задачи. Но как выяснилось, граждане из Cisco неплохо постарались, чтобы не допустить reuse-сценарий для этого серверного оборудования, рассказывая у себя форуме недоумевающим клиентам, оказавшимся в похожей ситуации, сказки про "вы не понимаете … это ради вашей же безопасности". Было обнаружено две ключевые проблемы: Отсутствовал доступ к контроллеру удалённого правления серверной платформой Baseboard Management Controller (BMC). Он был искусственно заблокирован Cisco и, как я понимаю, загружаемая AsyncOS строго контролировала эту блокировку. Отсутствовала возможность загрузить сервер с любого накопителя, отличного от загрузочного тома с AsyncOS на RAID-массиве, который был собран Cisco и имел специальную цифровую подпись в загрузчике. Блокировка была реализована путём форсированного включения Secure Boot в микрокоде BIOS с доверием лишь одному загрузочному носителю. В рамках этой статьи мы рассмотрим вариант решения двух этих
Сообщение Второе дыхание для серверной платформы Cisco WSA S695 (Cisco UCS C240 M5 Server) появились сначала на Блог IT-KB.