Uma obrigação em qualquer organização é controlar e permitir o acesso aos seus servidores, independentemente de ter segmentações com VLANs, ou ter controle por meio de firewalls físicos, Uma boa ideia é implementar a microssegmentação, ou, em alguns casos, para simplificar, também habilitam o controle no próprio firewall do sistema operacional.

Así que en el post de hoy veremos eso, cómo habilitar los accesos a nuestros hipervisores VMware ESXi y al appliance de gestión VMware vCSA, habilitaremos el control con su propio firewall, permitiendo únicamente los accesos que nos interesen. Con objeto por supuesto que si nos entrase algún bicho, ransomware o lo que fuere y se escapase más de lo debido, pues mitiguemos e intentemos que afecte lo mínimo posible. Ya que es necesario tener acceso a la gestión de los dispositivos, pues acotemos e indiquemos quién debe conectarse al vCSA, desde qué direcciones IP, y lo mismo a los hosts ESXi.

Firewall de VMware ESXi

Podremos editar el firewall de ESXi de varias maneras, por CLI, desde su gestión web o mismamente desde vCenter, individualmente en cada uno de ellos, ou mediante um Perfil de Host. Se vamos “Configurar” > “Sistema” > “Firewall”, podemos editar as regras que cada hypervisor traz, tanto as de entrada como as de saída.

E podemos procurar nas regras de entrada os acessos com “Cliente da Web vSphere” que normalmente usam 443tcp e 902tcp, assim como “vSphere Web Access” que usaria a porta 80tcp. Aí poderemos adicionar uma lista de endereços IP separados por vírgulas, essa lista seriam os endereços IP que poderiam acessar esses serviços. Normalmente os equipamentos de gestão, de salto; assim como o backup ou outros serviços que possam ser suportados, seja numa infraestrutura VDI…

Se tivermos SSH habilitado nos hosts, poderemos editar a regra do firewall na aba de “Shell seguro” para indicar a partir de quais endereços IP daremos acesso às conexões SSH.

Firewall do VMware vCSA

Para cambiar el firewall de nuestro appliance VMware vCSA o Virtual Center Server Appliance, accederemos a la gestión del appliance con un navegador al puerto 5480 por https, y tras loguearnos con una cuenta con privilegios, accederemos al menú de “Fiwarell” y podremos agregar reglas. Por defecto tiene todo abierto.

Y podremos hacer tantas reglas como nos interesen, añadiendo direciones IP específicas que puedan conectarse al vCSA y al finalizar deberemos de poner una regla de denegación, rechazando al resto. O mesmo, recordar todo lo que pueda usar vuestra infraestructura virtual, quién necesita al vCenter, los puestos de gestión o equipos de salto, los sistemas de backup, autocreado de MVs…

Como siempre esperando que os puedan ser documentos de interés, la idea es siempre de mejorar, tentar minimizar acessos não autorizados, evitemos sustos 😉 Que corra tudo bem, que sejam muito felizes e essas coisas =)