Edozein erakundetan derrigorrezkoa dena da bere zerbitzarietarako sarbideak kontrolatzea eta baimentzea, VLANekin segmentazioak izatearen arabera, edo firewall fisikoen bidez kontrola izatearen arabera, ideia ona da mikrosegmentazioa ezartzea, edo kasu batzuetan sinplifikatze aldera, OS propioaren firewallean kontrola ere gaitzea.

Así que en el post de hoy veremos eso, cómo habilitar los accesos a nuestros hipervisores VMware ESXi y al appliance de gestión VMware vCSA, habilitaremos el control con su propio firewall, permitiendo únicamente los accesos que nos interesen. Con objeto por supuesto que si nos entrase algún bicho, ransomware o lo que fuere y se escapase más de lo debido, pues mitiguemos e intentemos que afecte lo mínimo posible. Ya que es necesario tener acceso a la gestión de los dispositivos, pues acotemos e indiquemos quién debe conectarse al vCSA, desde qué direcciones IP, y lo mismo a los hosts ESXi.

Firewall de VMware ESXi

Podremos editar el firewall de ESXi de varias maneras, CLI bidez, desde su gestión web o mismamente desde vCenter, individualmente en cada uno de ellos, o mediante un Host Profile. Si vamos a “Configurar” > “Sistema” > “Firewall”, podremos editar las reglas que trae cada hipervisor, tanto las de entrada como las salientes.

Y podremos buscar en las reglas entrantes los accesos con “vSphere Web Client” que normalmente usa el 443tcp y 902tcp, eta baita “vSphere Web Access” que usaría el puerto 80tcp. Ahí podremos añadir un listado de direcciones IP separadas por comas, ese listado serían las direcciones IP que podrían acceder a estos servicios. Normalmente los equipos de gestión, de salto; así como el backup o otros servicios que se puedan apoyar, sea una infraestructura VDI…

Si tenemos SSH habilitado en los hosts, podremos editar la regla de firewall en la pestaña de “Shell seguro” para indicar desde qué direcciones IP daremos acceso a las conexiones SSH.

Firewall de VMware vCSA

Para cambiar el firewall de nuestro appliance VMware vCSA o Virtual Center Server Appliance, accederemos a la gestión del appliance con un navegador al puerto 5480 por https, y tras loguearnos con una cuenta con privilegios, accederemos al menú de “Fiwarell” y podremos agregar reglas. Por defecto tiene todo abierto.

Y podremos hacer tantas reglas como nos interesen, añadiendo direcciones IP específicas que puedan conectarse al vCSA y al finalizar deberemos de poner una regla de denegación, rechazando al resto. Lo mismo, recordar todo lo que pueda usar vuestra infraestructura virtual, quién necesita al vCenter, los puestos de gestión o equipos de salto, los sistemas de backup, autocreado de MVs…

Como siempre esperando que os puedan ser documentos de interés, la idea es siempre de mejorar, intentar minimizar accesos no debidos, evitemos sustos 😉 Que os vaya bien, que seáis muy felices y esas cosas =)