Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Kapitel 12 Absichern einer <strong>ESX</strong>-Konfiguration<br />
Zusätzlich zu den in Tabelle 12-1 aufgeführten TCP- und UDP-Ports können Sie andere Ports je nach Ihren<br />
Bedürfnissen konfigurieren:<br />
• Mit dem vSphere-Client können Sie Ports <strong>für</strong> installierte Verwaltungs-Agenten und unterstützte Dienste<br />
wie NFS freigeben.<br />
• Für andere Dienste und Agenten, die <strong>für</strong> Ihr Netzwerk notwendig sind, können Sie in der Servicekonsole<br />
weitere Firewall-Ports öffnen, indem Sie Befehlszeilenskripts ausführen.<br />
Absichern virtueller Maschinen durch VLANs<br />
Das Netzwerk gehört zu den gefährdetsten Teilen eines jeden Systems. Ihre VM-Netzwerk muss genauso wie<br />
ihr physisches Netzwerk geschützt werden. Sie können Ihr Netzwerk der virtuellen Maschinen auf verschiedene<br />
Weise absichern.<br />
Wenn das Netzwerk virtueller Maschinen an ein physisches Netzwerk angeschlossen ist, kann es ebenso Sicherheitslücken<br />
aufweisen wie ein Netzwerk, das aus physischen Computern besteht. Selbst wenn das virtuelle<br />
Maschinennetzwerk nicht an ein physisches Netzwerk angeschlossen ist, kann ein Angriff auf virtuelle Maschinen<br />
innerhalb des Netzwerks von anderen virtuellen Maschinen des Netzwerks aus erfolgen. Die Anforderungen<br />
an die Absicherung virtueller Maschinen sind oft die gleichen wie <strong>für</strong> physische Maschinen.<br />
Virtuelle Maschinen sind voneinander isoliert. Eine virtuelle Maschine kann weder Lese- noch Schreiboperationen<br />
im Speicher der anderen virtuellen Maschine ausführen noch auf deren Daten zugreifen, ihre Anwendungen<br />
verwenden usw. Im Netzwerk kann jedoch jede virtuelle Maschine oder eine Gruppe virtueller Maschinen<br />
Ziel eines unerlaubten Zugriffs von anderen virtuellen Maschinen sein und daher weiteren Schutzes<br />
durch externe Maßnahmen bedürfen.<br />
Sie können die Sicherheit durch unterschiedliche Maßnahmen erhöhen:<br />
• Hinzufügen von Firewallschutz <strong>für</strong> das virtuelle Netzwerk durch Installation und Konfiguration von<br />
hostbasierten Firewalls auf einigen oder allen virtuellen Maschinen im Netzwerk.<br />
Aus Effizienzgründen können Sie private Ethernet-Netzwerke virtueller Maschinen oder Virtuelle Netzwerke<br />
einrichten. Bei virtuellen Netzwerken installieren Sie eine hostbasierte Firewall auf einer virtuellen<br />
Maschine am Eingang des virtuellen Netzwerks. Diese dient als Schutzpufferzone zwischen dem physischen<br />
Netzwerkadapter und den übrigen virtuellen Maschinen im virtuellen Netzwerk.<br />
Die Installation einer hostbasierten Firewall auf virtuellen Maschinen am Eingang eines virtuellen Netzwerks<br />
ist eine bewährte Sicherheitsmaßnahme. Da hostbasierte Firewalls jedoch die Leistung beeinträchtigen<br />
können, sollten Sie Sicherheitsbedürfnisse und Leistungsanforderungen abwägen, bevor Sie hostbasierte<br />
Firewalls in anderen virtuellen Maschinen im Netzwerk installieren.<br />
• Beibehalten verschiedener Zonen aus virtuellen Maschinen innerhalb eines Hosts auf verschiedenen<br />
Netzwerksegmenten. Wenn Sie virtuelle Maschinenzonen in deren eigenen Netzwerksegmenten isolieren,<br />
minimieren Sie das Risiko eines Datenverlusts aus einer virtuellen Maschinenzone in die nächste. Die<br />
Segmentierung verhindert mehrere Gefahren. Zu diesen Gefahren gehört auch die Manipulation des Adressauflösungsprotokolls<br />
(ARP), wobei der Angreifer die ARP-Tabelle so manipuliert, dass die MAC- und<br />
IP-Adressen neu zugeordnet werden, wodurch ein Zugriff auf den Netzwerkdatenverkehr vom und zum<br />
Host möglich ist. Angreifer verwenden diese ARP-Manipulierung <strong>für</strong> Denial of Service-Angriffe (DOS),<br />
<strong>zur</strong> Übernahme des Zielsystems und <strong>zur</strong> anderweitigen Beeinträchtigung des virtuellen Netzwerks.<br />
<strong>VMware</strong>, Inc. 179