Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Kapitel 12 Absichern einer <strong>ESX</strong>-Konfiguration<br />
Bei dieser Konfiguration verwenden alle Mitarbeiter der Buchhaltungsabteilung virtuelle Maschinen im<br />
VLAN A, die Mitarbeiter der Vertriebsabteilung verwenden die virtuellen Maschinen im VLAN B.<br />
Der Router leitet die Datenpakete mit Buchhaltungsdaten an die Switches weiter. Diese Pakete sind so gekennzeichnet,<br />
dass sie nur an VLAN A weitergeleitet werden dürfen. Daher sind die Daten auf die Broadcast-<br />
Domäne A beschränkt und können nur an die Broadcast-Domäne B weitergeleitet werden, wenn der Router<br />
entsprechend konfiguriert wurde.<br />
Bei dieser VLAN-Konfiguration wird verhindert, dass Mitarbeiter des Vertriebs Datenpakete abfangen können,<br />
die <strong>für</strong> die Buchhaltungsabteilung bestimmt sind. Die Buchhaltungsabteilung kann zudem auch keine<br />
Datenpakete empfangen, die <strong>für</strong> den Vertrieb bestimmt sind. Virtuelle Maschinen, die an einen gemeinsamen<br />
virtuellen Switch angebunden sind, können sich dennoch in unterschiedlichen VLANs befinden.<br />
Sicherheitsempfehlungen <strong>für</strong> VLANs<br />
Wie Sie die VLANs einrichten, um Teile eines Netzwerks abzusichern, hängt von Faktoren wie dem Gastbetriebssystem<br />
und der Konfiguration der Netzwerkgeräte ab.<br />
<strong>ESX</strong> ist mit einer vollständigen VLAN-Implementierung nach IEEE 802.1q ausgestattet. Zwar kann <strong>VMware</strong><br />
keine spezifischen Empfehlungen aussprechen, wie die VLANs eingerichtet werden sollten, es sollten jedoch<br />
bestimmte Faktoren berücksichtigt werden, wenn ein VLAN ein Bestandteil Ihrer Sicherheitsrichtlinien ist.<br />
VLANs im Rahmen eines Sicherheitspakets<br />
Mit VLANs kann effektiv gesteuert werden, wo und in welchem Umfang Daten im Netzwerk übertragen<br />
werden. Wenn ein Angreifer Zugang zum Netzwerk erlangt, wird der Angriff mit hoher Wahrscheinlichkeit<br />
nur auf das VLAN beschränkt, das als Zugangspunkt diente, wodurch das Risiko <strong>für</strong> das gesamte Netzwerk<br />
verringert wird.<br />
VLANs bieten nur dadurch Schutz, dass sie steuern, wie Daten weitergeleitet und verarbeitet werden, nachdem<br />
sie die Switches passiert haben und sich im Netzwerk befinden. Sie können VLANs dazu nutzen, die 2.<br />
Schicht des Netzwerkmodells, die Sicherungsschicht, zu schützen. Die Einrichtung von VLANs schützt jedoch<br />
weder die Bitübertragungsschicht noch die anderen Schichten. Auch bei der Verwendung von VLANs sollten<br />
Sie zusätzlichen Schutz durch Absicherung der Hardware (Router, Hubs usw.) und Verschlüsselung der Datenübertragungen<br />
implementieren.<br />
VLANs ersetzen Softwarefirewalls in den Konfigurationen virtueller Maschinen nicht. In den meisten Netzwerkkonfigurationen<br />
mit VLANs gibt es auch Firewalls. Wenn Sie VLANs in Ihr virtuelles Netzwerk implementieren,<br />
stellen Sie sicher, dass die installierten Firewalls SAN-fähig sind.<br />
Ordnungsgemäßes Konfigurieren von VLANs<br />
Eine Fehlkonfiguration der Ausstattung und Netzwerkhardware, -firmware oder -software setzt ein VLAN<br />
möglichen VLAN-Hopping-Angriffen aus.<br />
VLAN-Hopping tritt dann auf, wenn ein Angreifer mit autorisiertem Zugriff auf ein VLAN Datenpakete erstellt,<br />
die die physischen Switches dazu bringen, die Pakete in ein anderes VLAN zu übertragen, <strong>für</strong> das der<br />
Angreifer keine Zugriffsberechtigung besitzt. Anfälligkeit <strong>für</strong> diese Art von Angriffen liegt meist dann vor,<br />
wenn ein Switch falsch <strong>für</strong> den nativen VLAN-Betrieb konfiguriert wurde, wodurch der Switch nicht gekennzeichnete<br />
Pakete empfangen und übertragen kann.<br />
Um ein VLAN-Hopping zu verhindern, aktualisieren Sie stets Ihre Umgebung, indem Sie Updates der Hardware<br />
und Firmware sofort aufspielen. Achten Sie bei der Konfiguration Ihrer Umgebung auch stets auf die<br />
Einhaltung der Empfehlungen des Herstellers.<br />
Virtuelle Switches von <strong>VMware</strong> unterstützen nicht das Konzept nativer VLANs. Alle Daten, die über diese<br />
Switches übertragen werden, müssen ordnungsgemäß gekennzeichnet werden. Da es jedoch im Netzwerk<br />
auch andere Switches geben kann, die <strong>für</strong> den nativen VLAN-Betrieb konfiguriert wurden, können VLANs<br />
mit virtuellen Switches dennoch anfällig <strong>für</strong> VLAN-Hopping sein.<br />
<strong>VMware</strong>, Inc. 181