Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Handbuch</strong> <strong>zur</strong> <strong>Serverkonfiguration</strong> <strong>für</strong> <strong>ESX</strong><br />
Wenn Sie VLANs <strong>zur</strong> Netzwerksicherung verwenden möchten, deaktivieren Sie die native VLAN-Funktion<br />
<strong>für</strong> alle Switches, sofern nicht ein zwingender Grund vorliegt, dass einige VLANs im nativen Modus betrieben<br />
werden müssen. Wenn Sie ein natives VLAN verwenden müssen, beachten Sie die Konfigurationsrichtlinien<br />
des Switch-Herstellers <strong>für</strong> diese Funktion.<br />
Einrichten separater Kommunikationen zwischen Verwaltungsprogrammen und der<br />
Servicekonsole<br />
Sowohl bei der Verwendung eines Verwaltungs-Clients als auch der Befehlszeile werden alle Konfigurationsaufgaben<br />
<strong>für</strong> <strong>ESX</strong>, z. B. Speicher, Steuerungsaspekte des Verhaltens virtueller Maschinen oder die Einrichtung<br />
virtueller Switches oder Netzwerke, über die Servicekonsole ausgeführt. Da die Servicekonsole die Steuerungszentrale<br />
von <strong>ESX</strong> ist, hat ihr Schutz vor Missbrauch oberste Priorität.<br />
Die Verwaltungsclients von <strong>VMware</strong> <strong>ESX</strong> verwenden Authentifizierung und Verschlüsselung, um unerlaubte<br />
Zugriffe auf die Servicekonsole zu verhindern. Andere Dienste bieten ggf. nicht den gleichen Schutz. Wenn<br />
Angreifer Zugriff auf die Servicekonsole erlangen, können sie viele Attribute des <strong>ESX</strong>-Hosts neu konfigurieren.<br />
So können Sie zum Beispiel die gesamte Konfiguration der virtuellen Switches oder die Autorisierungsmethoden<br />
ändern.<br />
Die Netzwerkanbindung <strong>für</strong> die Servicekonsole wird über virtuelle Switches hergestellt. Um diese wichtigen<br />
<strong>ESX</strong>-Komponenten zu schützen, isolieren Sie die Servicekonsole durch eines der folgenden Verfahren:<br />
• Richten Sie ein VLAN <strong>für</strong> die Kommunikation der Verwaltungsprogramme mit der Servicekonsole ein.<br />
• Konfigurieren Sie den Netzwerkzugang <strong>für</strong> die Verwaltungsprogrammverbindungen mit der Servicekonsole<br />
über einen einzelnen virtuellen Switch und einen oder mehrere Uplink-Ports.<br />
Beide Methoden verhindern, dass jemand ohne Zugriff auf das Servicekonsolen-VLAN oder den virtuellen<br />
Switch, den ein- und ausgehenden Datenverkehr der Servicekonsole verfolgen kann. Außerdem können so<br />
Angreifer keine Pakete an die Servicekonsole senden. Alternativ können Sie stattdessen die Servicekonsole in<br />
einem eigenen physischen Netzwerksegment konfigurieren. Die physische Segmentierung bietet eine gewisse<br />
zusätzliche Sicherheit, da diese vor einer späteren Fehlkonfiguration schützt.<br />
Richten Sie zudem ein eigenes VLAN oder einen eigenen virtuellen Switch <strong>für</strong> VMotion und <strong>für</strong> netzwerkgestützte<br />
Speicher ein.<br />
Schutz durch virtuelle Switches in VLANs<br />
Die virtuellen Switches von <strong>VMware</strong> schützen gegen bestimmte Bedrohungen der VLAN-Sicherheit. Durch<br />
den Aufbau der virtuellen Switches schützen sie VLANs gegen viele Arten von Angriffen, die meist auf VLAN-<br />
Hopping basieren.<br />
Dieser Schutz garantiert jedoch nicht, dass Ihre virtuellen Maschinen gegen andere Arten von Angriffen immun<br />
sind. So schützen virtuelle Switches zum Beispiel nicht das physische Netzwerk vor diesen Angriffen,<br />
sie schützen nur das virtuelle Netzwerk.<br />
Virtuelle Switches und VLANs können gegen folgende Arten von Angriffen schützen:<br />
MAC-Flooding<br />
Diese Angriffe überschwemmen den Switch mit Datenpaketen, die MAC-Adressen<br />
enthalten, die als von verschiedenen Quellen stammend gekennzeichnet<br />
wurden. Viele Switches verwenden eine assoziative Speichertabelle (CAM-Tabelle),<br />
um die Quelladresse <strong>für</strong> jedes Datenpaket zu speichern. Wenn die Ta-<br />
182 <strong>VMware</strong>, Inc.