Handbuch zur Serverkonfiguration für ESX - VMware

Weitere Magazine

Empfehlungen

Info

Handbuch zur Serverkonfiguration für ESX Wenn Sie VLANs zur Netzwerksicherung verwenden möchten, deaktivieren Sie die native VLAN-Funktion für alle Switches, sofern nicht ein zwingender Grund vorliegt, dass einige VLANs im nativen Modus betrieben werden müssen. Wenn Sie ein natives VLAN verwenden müssen, beachten Sie die Konfigurationsrichtlinien des Switch-Herstellers für diese Funktion. Einrichten separater Kommunikationen zwischen Verwaltungsprogrammen und der Servicekonsole Sowohl bei der Verwendung eines Verwaltungs-Clients als auch der Befehlszeile werden alle Konfigurationsaufgaben für ESX, z. B. Speicher, Steuerungsaspekte des Verhaltens virtueller Maschinen oder die Einrichtung virtueller Switches oder Netzwerke, über die Servicekonsole ausgeführt. Da die Servicekonsole die Steuerungszentrale von ESX ist, hat ihr Schutz vor Missbrauch oberste Priorität. Die Verwaltungsclients von VMware ESX verwenden Authentifizierung und Verschlüsselung, um unerlaubte Zugriffe auf die Servicekonsole zu verhindern. Andere Dienste bieten ggf. nicht den gleichen Schutz. Wenn Angreifer Zugriff auf die Servicekonsole erlangen, können sie viele Attribute des ESX-Hosts neu konfigurieren. So können Sie zum Beispiel die gesamte Konfiguration der virtuellen Switches oder die Autorisierungsmethoden ändern. Die Netzwerkanbindung für die Servicekonsole wird über virtuelle Switches hergestellt. Um diese wichtigen ESX-Komponenten zu schützen, isolieren Sie die Servicekonsole durch eines der folgenden Verfahren: • Richten Sie ein VLAN für die Kommunikation der Verwaltungsprogramme mit der Servicekonsole ein. • Konfigurieren Sie den Netzwerkzugang für die Verwaltungsprogrammverbindungen mit der Servicekonsole über einen einzelnen virtuellen Switch und einen oder mehrere Uplink-Ports. Beide Methoden verhindern, dass jemand ohne Zugriff auf das Servicekonsolen-VLAN oder den virtuellen Switch, den ein- und ausgehenden Datenverkehr der Servicekonsole verfolgen kann. Außerdem können so Angreifer keine Pakete an die Servicekonsole senden. Alternativ können Sie stattdessen die Servicekonsole in einem eigenen physischen Netzwerksegment konfigurieren. Die physische Segmentierung bietet eine gewisse zusätzliche Sicherheit, da diese vor einer späteren Fehlkonfiguration schützt. Richten Sie zudem ein eigenes VLAN oder einen eigenen virtuellen Switch für VMotion und für netzwerkgestützte Speicher ein. Schutz durch virtuelle Switches in VLANs Die virtuellen Switches von VMware schützen gegen bestimmte Bedrohungen der VLAN-Sicherheit. Durch den Aufbau der virtuellen Switches schützen sie VLANs gegen viele Arten von Angriffen, die meist auf VLAN- Hopping basieren. Dieser Schutz garantiert jedoch nicht, dass Ihre virtuellen Maschinen gegen andere Arten von Angriffen immun sind. So schützen virtuelle Switches zum Beispiel nicht das physische Netzwerk vor diesen Angriffen, sie schützen nur das virtuelle Netzwerk. Virtuelle Switches und VLANs können gegen folgende Arten von Angriffen schützen: MAC-Flooding Diese Angriffe überschwemmen den Switch mit Datenpaketen, die MAC-Adressen enthalten, die als von verschiedenen Quellen stammend gekennzeichnet wurden. Viele Switches verwenden eine assoziative Speichertabelle (CAM-Tabelle), um die Quelladresse für jedes Datenpaket zu speichern. Wenn die Ta- 182 VMware, Inc.
Kapitel 12 Absichern einer ESX-Konfiguration belle voll ist, schaltet der Switch ggf. in einen vollständig geöffneten Status um, in dem alle eingehenden Pakete auf allen Ports übertragen werden, sodass der Angreifer den gesamten Datenverkehr des Switches verfolgen kann. In diesem Fall kann es auch zu Paketlecks in andere VLANs kommen. Zwar speichern die virtuellen Switches von VMware eine MAC-Adressentabelle, aber sie erhalten die MAC-Adressen nicht von erkennbarem Datenverkehr und sind daher gegen diese Art von Angriffen immun. Angriffe durch 802.1qund ISL-Kennzeichnung Bei diesem Angriff werden die Datenblöcke durch den Switch an ein anderes VLAN weitergeleitet, indem der Switch durch einen Trick dazu gebracht wird, als Verbindungsleitung zu fungieren und den Datenverkehr an andere VLANs weiterzuleiten. Die virtuellen Switches von VMware führen das dynamische Trunking, das für diese Art des Angriffs notwendig ist, nicht aus, und sind daher immun. Doppelt eingekapselte Angriffe Bei dieser Art von Angriffen erstellt der Angreifer ein doppelt eingekapseltes Paket, in dem sich der VLAN-Bezeichner im inneren Tag vom VLAN-Bezeichner im äußeren Tag unterscheidet. Um Rückwärtskompatibilität zu gewährleisten, entfernen native VLANs standardmäßig das äußere Tag von übertragenen Paketen. Wenn ein nativer VLAN-Switch das äußere Tag entfernt, bleibt nur das innere Tag übrig, welches das Paket zu einem anderen VLAN weiterleitet, als im jetzt fehlenden äußeren Tag angegeben war. Die virtuellen Switches von VMware verwerfen alle doppelt eingekapselten Datenblöcke, die eine virtuelle Maschine auf einem für ein bestimmtes VLAN konfigurierten Port senden möchte. Daher sind sie immun gegen diese Art von Angriffen. Multicast-Brute-Force- Angriffe Bei diesen Angriffen wird eine große Anzahl von Multicast-Datenblöcken fast zeitgleich an ein bekanntes VLAN gesendet, um den Switch zu überlasten, damit er versehentlich einige Datenblöcke in andere VLANs überträgt. Die virtuellen Switches von VMware erlauben es Datenblöcken nicht, ihren richtigen Übertragungsbereich (VLAN) zu verlassen und sind daher gegen diese Art von Angriffen immun. Spanning-Tree-Angriffe Diese Angriffe zielen auf das Spanning-Tree-Protokoll (STP), das zur Steuerung der Überbrückung verschiedener Teile des LANs verwendet wird. Der Angreifer sendet Pakete der Bridge Protocol Data Unit (BPDU) in dem Versuch, die Netzwerktopologie zu ändern und sich selbst als Root-Bridge einzusetzen. Als Root-Bridge kann der Angreifer dann die Inhalte übertragener Datenblöcke mitschneiden. Die virtuellen Switches von VMware unterstützen STP nicht und sind daher gegen diese Art von Angriffen immun. Zufallsdatenblock-Angriffe Bei diesen Angriffen wird eine große Anzahl Pakete gesendet, bei denen die Quell- und Zieladressen gleich sind, diese jedoch Felder unterschiedlicher Länge, Art und mit verschiedenem Inhalt enthalten. Ziel des Angriffes ist es zu erzwingen, dass Pakete versehentlich in ein anderes VLAN fehlgeleitet werden. Die virtuellen Switches von VMware sind gegen diese Art von Angriffen immun. Da mit der Zeit immer neue Sicherheitsgefahren auftreten, kann diese Liste möglicher Angriffe nicht vollständig sein. Rufen Sie regelmäßig die VMware-Sicherheitsressourcen im Internet ab, um mehr über Sicherheit, neue Sicherheitswarnungen und die Sicherheitstaktiken von VMware zu erfahren. VMware, Inc. 183
Seite 1 und 2:
Handbuch zur Serverkonfiguration f
Seite 3 und 4:
Inhalt Über dieses Handbuch 7 1 Ei
Seite 5 und 6:
Inhalt Sonstige Quellen und Informa
Seite 7 und 8:
Über dieses Handbuch In diesem Han
Seite 9 und 10:
Einführung in die ESX-Konfiguratio
Seite 11 und 12:
Netzwerk VMware, Inc. 11
Seite 13 und 14:
Einführung in Netzwerke 2 Erläute
Seite 15 und 16:
Kapitel 2 Einführung in Netzwerke
Seite 17 und 18:
Einfache Netzwerke mit vNetwork- 3
Seite 19 und 20:
Kapitel 3 Einfache Netzwerke mit vN
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Einfache Netzwerke mit verteilten 4
Seite 31 und 32:
Kapitel 4 Einfache Netzwerke mit ve
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Erweiterte Netzwerkthemen 5 Die fol
Seite 51 und 52:
Kapitel 5 Erweiterte Netzwerkthemen
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Optimale Vorgehensweisen, Szenarien
Seite 79 und 80:
Kapitel 6 Optimale Vorgehensweisen,
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Speicher VMware, Inc. 87
Seite 89 und 90:
Einführung in die Speicherung 7 Di
Seite 91 und 92:
Kapitel 7 Einführung in die Speich
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Konfigurieren von ESX-Speicher 8 Di
Seite 105 und 106:
Kapitel 8 Konfigurieren von ESX-Spe
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Speicherverwaltung 9 Nachdem Sie Ih
Seite 129 und 130:
Kapitel 9 Speicherverwaltung Unmoun
Seite 131 und 132: Kapitel 9 Speicherverwaltung 7 Gebe
Seite 133 und 134: Kapitel 9 Speicherverwaltung Neusig
Seite 135 und 136: Kapitel 9 Speicherverwaltung Abbild
Seite 137 und 138: Kapitel 9 Speicherverwaltung Multip
Seite 139 und 140: Kapitel 9 Speicherverwaltung Prüfe
Seite 141 und 142: Kapitel 9 Speicherverwaltung Anzeig
Seite 143 und 144: Kapitel 9 Speicherverwaltung Speich
Seite 145 und 146: Kapitel 9 Speicherverwaltung Info z
Seite 147 und 148: Kapitel 9 Speicherverwaltung 3 Klic
Seite 149 und 150: Raw-Gerätezuordnung 10 Die Raw-Ger
Seite 151 und 152: Kapitel 10 Raw-Gerätezuordnung Dat
Seite 153 und 154: Kapitel 10 Raw-Gerätezuordnung Raw
Seite 155 und 156: Kapitel 10 Raw-Gerätezuordnung Ver
Seite 157 und 158: Sicherheit VMware, Inc. 157
Seite 159 und 160: Sicherheit für ESX-Systeme 11 Bei
Seite 161 und 162: Kapitel 11 Sicherheit für ESX-Syst
Seite 169 und 170: Absichern einer ESX-Konfiguration 1
Seite 171 und 172: Kapitel 12 Absichern einer ESX-Konf
Seite 181: Kapitel 12 Absichern einer ESX-Konf
Seite 193 und 194: Authentifizierung und 13 Benutzerve
Seite 195 und 196: Kapitel 13 Authentifizierung und Be
Seite 213 und 214: Sicherheit der Servicekonsole 14 VM
Seite 215 und 216: Kapitel 14 Sicherheit der Serviceko
Seite 231 und 232: Best Practices und Szenarien für d
Seite 233 und 234:
Kapitel 15 Best Practices und Szena
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Hostprofile VMware, Inc. 243
Seite 245 und 246:
Verwalten von Hostprofilen 16 Die H
Seite 247 und 248:
Kapitel 16 Verwalten von Hostprofil
Seite 249 und 250:
Seite 251 und 252:
Seite 253 und 254:
Seite 255 und 256:
Seite 257 und 258:
Anhänge VMware, Inc. 257
Seite 259 und 260:
Befehle für den technischen Suppor
Seite 261 und 262:
Anhang A Befehle für den technisch
Seite 263 und 264:
Anhang A Befehle für den technisch
Seite 265 und 266:
Mit ESX verwendete Linux-Befehle B
Seite 267 und 268:
Verwenden von „vmkfstools“ C Si
Seite 269 und 270:
Anhang C Verwenden von „vmkfstool
Seite 271 und 272:
Seite 273 und 274:
Seite 275 und 276:
Seite 277 und 278:
Seite 279 und 280:
Index Symbole * neben dem Pfad 140
Seite 281 und 282:
Index virtuelle Maschinen 45 Zurüc
Seite 283 und 284:
Index Internetprotokoll 50 IP-Adres
Seite 285 und 286:
Index Switches benachrichtigen 53 T
Seite 287 und 288:
Index konfigurieren 229 Servicekons
Seite 289 und 290:
Index Entfernen von mit Nullen aufg
Alle anzeigen

Handbuch zur Serverkonfiguration für ESX - VMware

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?