Handbuch zur Serverkonfiguration für ESX - VMware

Weitere Magazine

Empfehlungen

Info

Handbuch zur Serverkonfiguration für ESX Absichern der Ports virtueller Switches Wie bei physischen Netzwerkadaptern kann ein virtueller Netzwerkadapter Datenblöcke versenden, die von einer anderen virtuellen Maschine zu stammen scheinen oder eine andere virtuelle Maschine imitieren, damit er Datenblöcke aus dem Netzwerk empfangen kann, die für die jeweilige virtuelle Maschine bestimmt sind. Außerdem kann ein virtueller Netzwerkadapter, genauso wie ein physischer Netzwerkadapter, so konfiguriert werden, dass er Datenblöcke empfängt, die für andere virtuelle Maschinen bestimmt sind. Wenn Sie einen virtuellen Switch für Ihr Netzwerk erstellen, fügen Sie Portgruppen hinzu, um für die an den Switch angeschlossenen virtuellen Maschinen und Speichersysteme Richtlinien zu konfigurieren. Virtuelle Ports werden über den vSphere-Client erstellt. Während des Hinzufügens eines Ports oder einer Portgruppe zu einem virtuellen Switch konfiguriert der vSphere-Client ein Sicherheitsprofil für den Port. Mit diesem Sicherheitsprofil können Sie sicherstellen, dass ESX verhindert, dass die Gastbetriebssysteme auf den virtuellen Maschinen andere Computer im Netzwerk imitieren können. Diese Sicherheitsfunktion wurde so implementiert, dass das Gastbetriebssystem, welches für die Imitation verantwortlich ist, nicht erkennt, dass diese verhindert wurde. Das Sicherheitsprofil bestimmt, wie streng der Schutz gegen Imitierungs- oder Abfangangriffe auf virtuelle Maschinen sein soll. Damit Sie die Einstellungen des Sicherheitsprofils richtig anwenden können, benötigen Sie Grundkenntnisse darüber, wie virtuelle Netzwerkadapter Datenübertragungen steuern und wie Angriffe auf dieser Ebene vorgenommen werden. Jedem virtuellen Netzwerkadapter wird bei seiner Erstellung eine eindeutige MAC-Adresse zugewiesen. Diese Adresse wird „Ursprünglich zugewiesene MAC-Adresse“ genannt. Obwohl die ursprüngliche MAC-Adresse von außerhalb des Gastbetriebssystems neu konfiguriert werden kann, kann sie nicht vom Gastbetriebssystem selbst geändert werden. Außerdem verfügt jeder Adapter über eine geltende MAC-Adresse, die eingehenden Netzwerkverkehr mit einer MAC-Adresse, die nicht der geltenden MAC-Adresse entspricht, herausfiltert. Das Gastbetriebssystem ist für die Einstellung der geltenden MAC-Adresse verantwortlich. In der Regel stimmen die geltende MAC-Adresse und die ursprünglich zugewiesene MAC-Adresse überein. Beim Versand von Datenpaketen schreibt das Betriebssystem die geltende MAC-Adresse des eigenen Netzwerkadapters in das Feld mit der Quell-MAC-Adresse des Ethernet-Frames. Es schreibt auch die MAC-Adresse des Empfänger-Netzwerkadapters in das Feld mit der Ziel-MAC-Adresse. Der empfangende Adapter akzeptiert Datenpakete nur dann, wenn die Ziel-MAC-Adresse im Paket mit seiner eigenen geltenden MAC- Adresse übereinstimmt. Bei der Erstellung stimmen die geltende und die ursprünglich zugewiesene MAC-Adresse überein. Das Betriebssystem der virtuellen Maschine kann die geltenden MAC-Adresse jedoch jederzeit auf einen anderen Wert setzen. Wenn ein Betriebssystem die geltenden MAC-Adresse ändert, empfängt der Netzwerkadapter Netzwerkdatenverkehr, der für die neue MAC-Adresse bestimmt ist. Das Betriebssystem kann jederzeit Frames mit einer imitierten Quell-MAC-Adresse senden. Daher kann ein Betriebssystem böswillige Angriffe auf die Geräte in einem Netzwerk durchführen, indem es einen Netzwerkadapter imitiert, der vom Empfängernetzwerk autorisiert wurde. Mit den Sicherheitsprofilen für den virtuellen Switch auf den ESX-Hosts können Sie sich gegen diese Art von Angriffen schützen, indem Sie drei Optionen einstellen: Wenn Sie eine Standardeinstellung für einen Port ändern möchten, müssen Sie das Sicherheitsprofil in den Einstellungen des virtuellen Switches im vSphere- Client ändern. MAC-Adressenänderungen Die Einstellung der Option [MAC-Adressenänderungen] beeinflusst den Datenverkehr, den eine virtuelle Maschine empfängt. Wenn die Option auf [Akzeptieren] festgelegt ist, akzeptiert ESX Anforderungen, die geltende MAC-Adresse in eine andere als die ursprünglich zugewiesene Adresse zu ändern. 184 VMware, Inc.
Kapitel 12 Absichern einer ESX-Konfiguration Wenn die Option auf [Ablehnen] festgelegt ist, lehnt ESX Anforderungen ab, die geltende MAC-Adresse in eine andere als die ursprünglich zugewiesene Adresse zu ändern. Damit wird der Host vor MAC-Imitationen geschützt. Der Port, der von dem virtuellen Adapter zum Senden der Anforderung verwendet wird, ist deaktiviert, und der virtuelle Adapter erhält keine weiteren Frames mehr, bis er die geltende MAC-Adresse ändert, sodass sie mit der ursprünglichen MAC-Adresse übereinstimmt. Das Gastbetriebssystem erkennt nicht, dass die Änderung der MAC-Adresse nicht angenommen wurde. HINWEIS Der iSCSI-Initiator basiert darauf, dass er MAC-Adressänderungen von bestimmten Speichertypen erhalten kann. Wenn Sie ESX-iSCSI verwenden und über einen iSCSI-Speicher verfügen, legen Sie die Option [MAC-Adressänderungen] auf [Akzeptieren] fest. In bestimmten Situationen ist es tatsächlich notwendig, dass mehrere Adapter in einem Netzwerk die gleiche MAC-Adresse haben, zum Beispiel wenn Sie den Microsoft-NetzwerkLastausgleich im Unicast-Modus verwenden. Bei Verwendung des Microsoft-NetzwerkLastausgleichs im Standard-Multicast-Modus haben die Adapter nicht die gleiche MAC-Adresse. Gefälschte Übertragungen Die Einstellung der Option [Gefälschte Übertragungen] beeinflusst den Datenverkehr, der von einer virtuellen Maschine versandt wird. Wenn die Option auf [Akzeptieren] festgelegt ist, vergleicht ESX die Quell- und die geltende MAC-Adresse nicht. Zum Schutz gegen MAC-Imitation können Sie diese Option auf [Ablehnen (Reject)] einstellen. In diesem Fall vergleicht der Host die Quell-MAC-Adresse, die vom Betriebssystem übertragen wird, mit der geltenden MAC-Adresse des Adapters, um festzustellen, ob sie übereinstimmen. Wenn die Adressen nicht übereinstimmen, verwirft ESX das Paket. Das Gastbetriebssystem erkennt nicht, dass der virtuelle Netzwerkadapter die Pakete mit der imitierten MAC- Adresse nicht senden kann. Der ESX-Host fängt alle Pakete mit imitierten Adressen vor der Übermittlung ab. Das Gastbetriebssystem geht ggf. davon aus, dass die Pakete verworfen wurden. Betrieb im Promiscuous-Modus Der Promiscuous-Modus deaktiviert jegliche Empfangsfilterung, die der virtuelle Netzwerkadapter normalerweise ausführen würde, sodass das Gastbetriebssystem den gesamten Datenverkehr aus dem Netzwerk empfängt. Standardmäßig kann der virtuelle Netzwerkadapter nicht im Promiscuous-Modus betrieben werden. Zwar kann der Promiscuous-Modus für die Nachverfolgung von Netzwerkaktivitäten nützlich sein, aber er ist ein unsicherer Betriebsmodus, da jeder Adapter im Promiscuous-Modus Zugriff auf alle Pakete hat, auch wenn manche Pakete nur für einen spezifischen Netzwerkadapter bestimmt sind. Das bedeutet, dass ein Administrator oder Root-Benutzer in einer virtuellen Maschine rein theoretisch den Datenverkehr, der für andere Gast- oder Hostbetriebssysteme bestimmt ist, einsehen kann. HINWEIS Unter bestimmten Umständen ist es notwendig, einen virtuellen Switch in den Promiscuous-Modus zu setzen, zum Beispiel wenn Sie eine Software zur Netzwerkeinbruchserkennung oder einen Paket-Sniffer verwenden. Internet Protocol Security (IPsec) Internet Protocol Security (IPsec) sichert die von einem Host ausgehende und bei diesem eingehende IP-Kommunikation. ESX-Hosts unterstützen IPsec mit IPv6. Wenn Sie IPsec auf einem Host einrichten, aktivieren Sie die Authentifizierung und Verschlüsselung ein- und ausgehender Pakete. Wann und wie der IP-Datenverkehr verschlüsselt wird, hängt davon ab, wie Sie die Sicherheitsverbindungen und -richtlinien des Systems einrichten. VMware, Inc. 185
Seite 1 und 2:
Handbuch zur Serverkonfiguration f
Seite 3 und 4:
Inhalt Über dieses Handbuch 7 1 Ei
Seite 5 und 6:
Inhalt Sonstige Quellen und Informa
Seite 7 und 8:
Über dieses Handbuch In diesem Han
Seite 9 und 10:
Einführung in die ESX-Konfiguratio
Seite 11 und 12:
Netzwerk VMware, Inc. 11
Seite 13 und 14:
Einführung in Netzwerke 2 Erläute
Seite 15 und 16:
Kapitel 2 Einführung in Netzwerke
Seite 17 und 18:
Einfache Netzwerke mit vNetwork- 3
Seite 19 und 20:
Kapitel 3 Einfache Netzwerke mit vN
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Einfache Netzwerke mit verteilten 4
Seite 31 und 32:
Kapitel 4 Einfache Netzwerke mit ve
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Erweiterte Netzwerkthemen 5 Die fol
Seite 51 und 52:
Kapitel 5 Erweiterte Netzwerkthemen
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Optimale Vorgehensweisen, Szenarien
Seite 79 und 80:
Kapitel 6 Optimale Vorgehensweisen,
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Speicher VMware, Inc. 87
Seite 89 und 90:
Einführung in die Speicherung 7 Di
Seite 91 und 92:
Kapitel 7 Einführung in die Speich
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Konfigurieren von ESX-Speicher 8 Di
Seite 105 und 106:
Kapitel 8 Konfigurieren von ESX-Spe
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Speicherverwaltung 9 Nachdem Sie Ih
Seite 129 und 130:
Kapitel 9 Speicherverwaltung Unmoun
Seite 131 und 132:
Kapitel 9 Speicherverwaltung 7 Gebe
Seite 133 und 134: Kapitel 9 Speicherverwaltung Neusig
Seite 135 und 136: Kapitel 9 Speicherverwaltung Abbild
Seite 137 und 138: Kapitel 9 Speicherverwaltung Multip
Seite 139 und 140: Kapitel 9 Speicherverwaltung Prüfe
Seite 141 und 142: Kapitel 9 Speicherverwaltung Anzeig
Seite 143 und 144: Kapitel 9 Speicherverwaltung Speich
Seite 145 und 146: Kapitel 9 Speicherverwaltung Info z
Seite 147 und 148: Kapitel 9 Speicherverwaltung 3 Klic
Seite 149 und 150: Raw-Gerätezuordnung 10 Die Raw-Ger
Seite 151 und 152: Kapitel 10 Raw-Gerätezuordnung Dat
Seite 153 und 154: Kapitel 10 Raw-Gerätezuordnung Raw
Seite 155 und 156: Kapitel 10 Raw-Gerätezuordnung Ver
Seite 157 und 158: Sicherheit VMware, Inc. 157
Seite 159 und 160: Sicherheit für ESX-Systeme 11 Bei
Seite 161 und 162: Kapitel 11 Sicherheit für ESX-Syst
Seite 169 und 170: Absichern einer ESX-Konfiguration 1
Seite 171 und 172: Kapitel 12 Absichern einer ESX-Konf
Seite 183: Kapitel 12 Absichern einer ESX-Konf
Seite 193 und 194: Authentifizierung und 13 Benutzerve
Seite 195 und 196: Kapitel 13 Authentifizierung und Be
Seite 213 und 214: Sicherheit der Servicekonsole 14 VM
Seite 215 und 216: Kapitel 14 Sicherheit der Serviceko
Seite 231 und 232: Best Practices und Szenarien für d
Seite 233 und 234: Kapitel 15 Best Practices und Szena
Seite 235 und 236:
Kapitel 15 Best Practices und Szena
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Hostprofile VMware, Inc. 243
Seite 245 und 246:
Verwalten von Hostprofilen 16 Die H
Seite 247 und 248:
Kapitel 16 Verwalten von Hostprofil
Seite 249 und 250:
Seite 251 und 252:
Seite 253 und 254:
Seite 255 und 256:
Seite 257 und 258:
Anhänge VMware, Inc. 257
Seite 259 und 260:
Befehle für den technischen Suppor
Seite 261 und 262:
Anhang A Befehle für den technisch
Seite 263 und 264:
Anhang A Befehle für den technisch
Seite 265 und 266:
Mit ESX verwendete Linux-Befehle B
Seite 267 und 268:
Verwenden von „vmkfstools“ C Si
Seite 269 und 270:
Anhang C Verwenden von „vmkfstool
Seite 271 und 272:
Seite 273 und 274:
Seite 275 und 276:
Seite 277 und 278:
Seite 279 und 280:
Index Symbole * neben dem Pfad 140
Seite 281 und 282:
Index virtuelle Maschinen 45 Zurüc
Seite 283 und 284:
Index Internetprotokoll 50 IP-Adres
Seite 285 und 286:
Index Switches benachrichtigen 53 T
Seite 287 und 288:
Index konfigurieren 229 Servicekons
Seite 289 und 290:
Index Entfernen von mit Nullen aufg
Alle anzeigen

Handbuch zur Serverkonfiguration für ESX - VMware

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?