Bloqueando accesos a nuestros hosts VMware ESXi y vCSA
Un must en cualquier organización es la de controlar y permitir accesos a sus servidores, independientemente de tener segmentaciones con VLANs, o tener control mediante de firewalls físicos, una buena idea es la de implementar una microsegmentación, o en algunos casos por simplificar, habilitar también el control en el firewall del propio SO.
Así que en el post de hoy veremos eso, cómo habilitar los accesos a nuestros hipervisores VMware ESXi y al appliance de gestión VMware vCSA, habilitaremos el control con su propio firewall, permitiendo únicamente los accesos que nos interesen. Con objeto por supuesto que si nos entrase algún bicho, ransomware o lo que fuere y se escapase más de lo debido, pues mitiguemos e intentemos que afecte lo mínimo posible. Ya que es necesario tener acceso a la gestión de los dispositivos, pues acotemos e indiquemos quién debe conectarse al vCSA, desde qué direcciones IP, y lo mismo a los hosts ESXi.
Firewall de VMware ESXi
Podremos editar el firewall de ESXi de varias maneras, por CLI, desde su gestión web o mismamente desde vCenter, individualmente en cada uno de ellos, o mediante un Host Profile. Si vamos a “Configurar” > “Sistema” > “Firewall”, podremos editar las reglas que trae cada hipervisor, tanto las de entrada como las salientes.
Y podremos buscar en las reglas entrantes los accesos con “vSphere Web Client” que normalmente usa el 443tcp y 902tcp, así como “vSphere Web Access” que usaría el puerto 80tcp. Ahí podremos añadir un listado de direcciones IP separadas por comas, ese listado serían las direcciones IP que podrían acceder a estos servicios. Normalmente los equipos de gestión, de salto; así como el backup o otros servicios que se puedan apoyar, sea una infraestructura VDI…
Si tenemos SSH habilitado en los hosts, podremos editar la regla de firewall en la pestaña de “Shell seguro” para indicar desde qué direcciones IP daremos acceso a las conexiones SSH.
Firewall de VMware vCSA
Para cambiar el firewall de nuestro appliance VMware vCSA o Virtual Center Server Appliance, accederemos a la gestión del appliance con un navegador al puerto 5480 por https, y tras loguearnos con una cuenta con privilegios, accederemos al menú de “Fiwarell” y podremos agregar reglas. Por defecto tiene todo abierto.
Y podremos hacer tantas reglas como nos interesen, añadiendo direcciones IP específicas que puedan conectarse al vCSA y al finalizar deberemos de poner una regla de denegación, rechazando al resto. Lo mismo, recordar todo lo que pueda usar vuestra infraestructura virtual, quién necesita al vCenter, los puestos de gestión o equipos de salto, los sistemas de backup, autocreado de MVs…
Como siempre esperando que os puedan ser documentos de interés, la idea es siempre de mejorar, intentar minimizar accesos no debidos, evitemos sustos 😉 Que os vaya bien, que seáis muy felices y esas cosas =)