Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Handbuch</strong> <strong>zur</strong> <strong>Serverkonfiguration</strong> <strong>für</strong> <strong>ESX</strong><br />
Absichern der Ports virtueller Switches<br />
Wie bei physischen Netzwerkadaptern kann ein virtueller Netzwerkadapter Datenblöcke versenden, die von<br />
einer anderen virtuellen Maschine zu stammen scheinen oder eine andere virtuelle Maschine imitieren, damit<br />
er Datenblöcke aus dem Netzwerk empfangen kann, die <strong>für</strong> die jeweilige virtuelle Maschine bestimmt sind.<br />
Außerdem kann ein virtueller Netzwerkadapter, genauso wie ein physischer Netzwerkadapter, so konfiguriert<br />
werden, dass er Datenblöcke empfängt, die <strong>für</strong> andere virtuelle Maschinen bestimmt sind.<br />
Wenn Sie einen virtuellen Switch <strong>für</strong> Ihr Netzwerk erstellen, fügen Sie Portgruppen hinzu, um <strong>für</strong> die an den<br />
Switch angeschlossenen virtuellen Maschinen und Speichersysteme Richtlinien zu konfigurieren. Virtuelle<br />
Ports werden über den vSphere-Client erstellt.<br />
Während des Hinzufügens eines Ports oder einer Portgruppe zu einem virtuellen Switch konfiguriert der<br />
vSphere-Client ein Sicherheitsprofil <strong>für</strong> den Port. Mit diesem Sicherheitsprofil können Sie sicherstellen, dass<br />
<strong>ESX</strong> verhindert, dass die Gastbetriebssysteme auf den virtuellen Maschinen andere Computer im Netzwerk<br />
imitieren können. Diese Sicherheitsfunktion wurde so implementiert, dass das Gastbetriebssystem, welches<br />
<strong>für</strong> die Imitation verantwortlich ist, nicht erkennt, dass diese verhindert wurde.<br />
Das Sicherheitsprofil bestimmt, wie streng der Schutz gegen Imitierungs- oder Abfangangriffe auf virtuelle<br />
Maschinen sein soll. Damit Sie die Einstellungen des Sicherheitsprofils richtig anwenden können, benötigen<br />
Sie Grundkenntnisse darüber, wie virtuelle Netzwerkadapter Datenübertragungen steuern und wie Angriffe<br />
auf dieser Ebene vorgenommen werden.<br />
Jedem virtuellen Netzwerkadapter wird bei seiner Erstellung eine eindeutige MAC-Adresse zugewiesen. Diese<br />
Adresse wird „Ursprünglich zugewiesene MAC-Adresse“ genannt. Obwohl die ursprüngliche MAC-Adresse<br />
von außerhalb des Gastbetriebssystems neu konfiguriert werden kann, kann sie nicht vom Gastbetriebssystem<br />
selbst geändert werden. Außerdem verfügt jeder Adapter über eine geltende MAC-Adresse, die eingehenden<br />
Netzwerkverkehr mit einer MAC-Adresse, die nicht der geltenden MAC-Adresse entspricht, herausfiltert.<br />
Das Gastbetriebssystem ist <strong>für</strong> die Einstellung der geltenden MAC-Adresse verantwortlich. In der<br />
Regel stimmen die geltende MAC-Adresse und die ursprünglich zugewiesene MAC-Adresse überein.<br />
Beim Versand von Datenpaketen schreibt das Betriebssystem die geltende MAC-Adresse des eigenen Netzwerkadapters<br />
in das Feld mit der Quell-MAC-Adresse des Ethernet-Frames. Es schreibt auch die MAC-Adresse<br />
des Empfänger-Netzwerkadapters in das Feld mit der Ziel-MAC-Adresse. Der empfangende Adapter<br />
akzeptiert Datenpakete nur dann, wenn die Ziel-MAC-Adresse im Paket mit seiner eigenen geltenden MAC-<br />
Adresse übereinstimmt.<br />
Bei der Erstellung stimmen die geltende und die ursprünglich zugewiesene MAC-Adresse überein. Das Betriebssystem<br />
der virtuellen Maschine kann die geltenden MAC-Adresse jedoch jederzeit auf einen anderen<br />
Wert setzen. Wenn ein Betriebssystem die geltenden MAC-Adresse ändert, empfängt der Netzwerkadapter<br />
Netzwerkdatenverkehr, der <strong>für</strong> die neue MAC-Adresse bestimmt ist. Das Betriebssystem kann jederzeit Frames<br />
mit einer imitierten Quell-MAC-Adresse senden. Daher kann ein Betriebssystem böswillige Angriffe auf<br />
die Geräte in einem Netzwerk durchführen, indem es einen Netzwerkadapter imitiert, der vom Empfängernetzwerk<br />
autorisiert wurde.<br />
Mit den Sicherheitsprofilen <strong>für</strong> den virtuellen Switch auf den <strong>ESX</strong>-Hosts können Sie sich gegen diese Art von<br />
Angriffen schützen, indem Sie drei Optionen einstellen: Wenn Sie eine Standardeinstellung <strong>für</strong> einen Port<br />
ändern möchten, müssen Sie das Sicherheitsprofil in den Einstellungen des virtuellen Switches im vSphere-<br />
Client ändern.<br />
MAC-Adressenänderungen<br />
Die Einstellung der Option [MAC-Adressenänderungen] beeinflusst den Datenverkehr, den eine virtuelle<br />
Maschine empfängt.<br />
Wenn die Option auf [Akzeptieren] festgelegt ist, akzeptiert <strong>ESX</strong> Anforderungen, die geltende MAC-Adresse<br />
in eine andere als die ursprünglich zugewiesene Adresse zu ändern.<br />
184 <strong>VMware</strong>, Inc.