Uma obrigação em qualquer organização é controlar e permitir o acesso aos seus servidores, independentemente de ter segmentações com VLANs, ou ter controle por meio de firewalls físicos, Uma boa ideia é implementar a microssegmentação, ou, em alguns casos, para simplificar, também habilitam o controle no próprio firewall do sistema operacional.

Então, no post de hoje vamos ver isso, como habilitar os acessos aos nossos hipervisores VMware ESXi e ao appliance de gestão VMware vCSA, vamos habilitar o controlo com o seu próprio firewall, permitindo apenas os acessos que nos interessam. Para que, claro, se nos surgisse algum bichinho, ransomware ou seja o que for e escapasse mais do que o devido, possamos mitigar e tentar que afete o mínimo possível. Como é necessário ter acesso à gestão dos dispositivos, vamos definir e indicar quem deve conectar-se ao vCSA, a partir de que endereços IP, e o mesmo para os hosts ESXi.

Firewall do VMware ESXi

Podemos editar o firewall do ESXi de várias maneiras, por CLI, através da sua gestão web ou mesmo a partir do vCenter, individualmente em cada um deles, ou mediante um Perfil de Host. Se vamos “Configurar” > “Sistema” > “Firewall”, podemos editar as regras que cada hypervisor traz, tanto as de entrada como as de saída.

E podemos procurar nas regras de entrada os acessos com “Cliente da Web vSphere” que normalmente usam 443tcp e 902tcp, assim como “vSphere Web Access” que usaria a porta 80tcp. Aí poderemos adicionar uma lista de endereços IP separados por vírgulas, essa lista seriam os endereços IP que poderiam acessar esses serviços. Normalmente os equipamentos de gestão, de salto; assim como o backup ou outros serviços que possam ser suportados, seja numa infraestrutura VDI…

Se tivermos SSH habilitado nos hosts, poderemos editar a regra do firewall na aba de “Shell seguro” para indicar a partir de quais endereços IP daremos acesso às conexões SSH.

Firewall do VMware vCSA

Para cambiar el firewall de nuestro appliance VMware vCSA o Virtual Center Server Appliance, accederemos a la gestión del appliance con un navegador al puerto 5480 por https, y tras loguearnos con una cuenta con privilegios, accederemos al menú de “Fiwarell” y podremos agregar reglas. Por defecto tiene todo abierto.

Y podremos hacer tantas reglas como nos interesen, añadiendo direciones IP específicas que puedan conectarse al vCSA y al finalizar deberemos de poner una regla de denegación, rechazando al resto. O mesmo, recordar todo lo que pueda usar vuestra infraestructura virtual, quién necesita al vCenter, los puestos de gestión o equipos de salto, los sistemas de backup, autocreado de MVs…

Como siempre esperando que os puedan ser documentos de interés, la idea es siempre de mejorar, tentar minimizar acessos não autorizados, evitemos sustos 😉 Que corra tudo bem, que sejam muito felizes e essas coisas =)