Un must en qualsevol organització és la de controlar i permetre accessos als seus servidors, independentment de tenir segmentacions amb VLANs, o tenir control mitjançant de firewalls físics, una bona idea és la d'implementar una microsegmentació, o en alguns casos per simplificar, habilitar també el control en el firewall del mateix SO.

Així que en el post d'avui veurem això, com habilitar els accessos als nostres hipervisors VMware ESXi i a l'appliance de gestió VMware vCSA, habilitarem el control amb el seu propi firewall, permetent únicament els accessos que ens interessin. Per suposat que si ens entrés algun bitxo, ransomware o el que sigui i s'escapés més del degut, doncs mitiguem i intentem que afecti el mínim possible. Ja que cal tenir accés a la gestió dels dispositius, doncs acotem i indiquem qui s'ha de connectar al vCSA, des de quines adreces IP, i el mateix als hosts ESXi.

Firewall de VMware ESXi

Podrem editar el firewall d'ESXi de diverses maneres, per CLI, des de la seva gestió web o mateixament des de vCenter, individualment en cadascun d' ells, o mitjançant un Host Profile. Si anem a “Configurar” > “Sistema” > “Firewall”, podrem editar les regles que porta cada hipervisor, tant les d' entrada com les sortints.

I podrem buscar en les regles entrants els accessos amb “vSphere Web Client” que normalment fa servir el 443 i 902tcp, així com “vSphere Web Access” que faria servir el port 80. Ací podrem afegir un llistat d'adreces IP separades per comes, aquest llistat serien les adreces IP que podrien accedir a aquests serveis. Normalment els equips de gestió, de salt; així com el backup o altres serveis que es puguin donar suport, sigui una infraestructura VDI…

Si tenim SSH habilitat als hosts, podrem editar la regla de firewall a la pestanya de “Shell segur” per indicar des de quines adreces IP donarem accés a les connexions SSH.

Firewall de VMware vCSA

Per canviar el firewall del nostre appliance VMware vCSA o Virtual Center Server Appliance, accedirem a la gestió de l'appliance amb un navegador al port 5480 per https, i després d'aconseguir-nos amb un compte amb privilegis, accedirem al menú de “Fiwarell” i podrem agregar regles. Per defecte té tot obert.

I podrem fer tantes regles com ens interessin, afegint adreces IP específiques que puguin connectar-se al vCSA i en finalitzar haurem de posar una regla de denegació, rebutjant la resta. El mateix, recordar tot el que pugui fer servir la vostra infraestructura virtual, qui necessita al vCenter, els llocs de gestió o equips de salt, sistemes de backup, autocreat de MVs…

Com sempre esperant que us puguin ser documents d'interès, la idea és sempre de millorar, intentar minimitzar accessos no deguts, evitem ensurts 😉 Que us vagi bé, que se'n va molt felices i aquestes coses =)