Bloqueando o acesso aos nossos hosts VMware ESXi e vCSA

Impressão amigável, PDF & Email

Uma obrigação em qualquer organização é controlar e permitir o acesso aos seus servidores, independentemente de ter segmentações com VLANs, ou ter controle por meio de firewalls físicos, Uma boa ideia é implementar a microssegmentação, ou, em alguns casos, para simplificar, também habilitam o controle no próprio firewall do sistema operacional.

Así que en el post de hoy veremos eso, cómo habilitar los accesos a nuestros hipervisores VMware ESXi y al appliance de gestión VMware vCSA, habilitaremos el control con su propio firewall, permitiendo únicamente los accesos que nos interesen. Con objeto por supuesto que si nos entrase algún bicho, ransomware o lo que fuere y se escapase más de lo debido, pues mitiguemos e intentemos que afecte lo mínimo posible. Ya que es necesario tener acceso a la gestión de los dispositivos, pues acotemos e indiquemos quién debe conectarse al vCSA, desde qué direcciones IP, y lo mismo a los hosts ESXi.

Firewall de VMware ESXi

Podremos editar el firewall de ESXi de varias maneras, por CLI, desde su gestión web o mismamente desde vCenter, individualmente en cada uno de ellos, o mediante un Host Profile. Se vamos “Configurar” > “Sistema” > “Firewall”, podremos editar las reglas que trae cada hipervisor, tanto las de entrada como las salientes.

Y podremos buscar en las reglas entrantes los accesos con “Cliente da Web vSphere” que normalmente usa el 443tcp y 902tcp, así comovSphere Web Accessque usaría el puerto 80tcp. Ahí podremos añadir un listado de direcciones IP separadas por comas, ese listado serían las direcciones IP que podrían acceder a estos servicios. Normalmente los equipos de gestión, de salto; así como el backup o otros servicios que se puedan apoyar, sea una infraestructura VDI

Si tenemos SSH habilitado en los hosts, podremos editar la regla de firewall en la pestaña deShell seguropara indicar desde qué direcciones IP daremos acceso a las conexiones SSH.

Firewall de VMware vCSA

Para cambiar el firewall de nuestro appliance VMware vCSA o Virtual Center Server Appliance, accederemos a la gestión del appliance con un navegador al puerto 5480 por https, y tras loguearnos con una cuenta con privilegios, accederemos al menú deFiwarelly podremos agregar reglas. Por defecto tiene todo abierto.

Y podremos hacer tantas reglas como nos interesen, añadiendo direcciones IP específicas que puedan conectarse al vCSA y al finalizar deberemos de poner una regla de denegación, rechazando al resto. O mesmo, recordar todo lo que pueda usar vuestra infraestructura virtual, quién necesita al vCenter, los puestos de gestión o equipos de salto, los sistemas de backup, autocreado de MVs

Como siempre esperando que os puedan ser documentos de interés, la idea es siempre de mejorar, intentar minimizar accesos no debidos, evitemos sustos 😉 Que os vaya bien, que seáis muy felices y esas cosas =)

Postagens recomendadas

Protegendo-nos de ataques e botnets no Fortigate
Ler
Desplegando Crowdsec en una máquina Windows
Ler
Implantando o Crowdsec em uma máquina Linux
Ler
Implantando o Crowdsec centralmente
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Calendário CalDAV no Home Assistant com alertas de IA

26 Setembro 2024

Implementando a LAPS do Windows

3 Outubro 2024