Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Kapitel 12 Absichern einer <strong>ESX</strong>-Konfiguration<br />
Wenn die Option auf [Ablehnen] festgelegt ist, lehnt <strong>ESX</strong> Anforderungen ab, die geltende MAC-Adresse in<br />
eine andere als die ursprünglich zugewiesene Adresse zu ändern. Damit wird der Host vor MAC-Imitationen<br />
geschützt. Der Port, der von dem virtuellen Adapter zum Senden der Anforderung verwendet wird, ist deaktiviert,<br />
und der virtuelle Adapter erhält keine weiteren Frames mehr, bis er die geltende MAC-Adresse ändert,<br />
sodass sie mit der ursprünglichen MAC-Adresse übereinstimmt. Das Gastbetriebssystem erkennt nicht, dass<br />
die Änderung der MAC-Adresse nicht angenommen wurde.<br />
HINWEIS Der iSCSI-Initiator basiert darauf, dass er MAC-Adressänderungen von bestimmten Speichertypen<br />
erhalten kann. Wenn Sie <strong>ESX</strong>-iSCSI verwenden und über einen iSCSI-Speicher verfügen, legen Sie die Option<br />
[MAC-Adressänderungen] auf [Akzeptieren] fest.<br />
In bestimmten Situationen ist es tatsächlich notwendig, dass mehrere Adapter in einem Netzwerk die gleiche<br />
MAC-Adresse haben, zum Beispiel wenn Sie den Microsoft-NetzwerkLastausgleich im Unicast-Modus verwenden.<br />
Bei Verwendung des Microsoft-NetzwerkLastausgleichs im Standard-Multicast-Modus haben die<br />
Adapter nicht die gleiche MAC-Adresse.<br />
Gefälschte Übertragungen<br />
Die Einstellung der Option [Gefälschte Übertragungen] beeinflusst den Datenverkehr, der von einer virtuellen<br />
Maschine versandt wird.<br />
Wenn die Option auf [Akzeptieren] festgelegt ist, vergleicht <strong>ESX</strong> die Quell- und die geltende MAC-Adresse<br />
nicht.<br />
Zum Schutz gegen MAC-Imitation können Sie diese Option auf [Ablehnen (Reject)] einstellen. In diesem<br />
Fall vergleicht der Host die Quell-MAC-Adresse, die vom Betriebssystem übertragen wird, mit der geltenden<br />
MAC-Adresse des Adapters, um festzustellen, ob sie übereinstimmen. Wenn die Adressen nicht übereinstimmen,<br />
verwirft <strong>ESX</strong> das Paket.<br />
Das Gastbetriebssystem erkennt nicht, dass der virtuelle Netzwerkadapter die Pakete mit der imitierten MAC-<br />
Adresse nicht senden kann. Der <strong>ESX</strong>-Host fängt alle Pakete mit imitierten Adressen vor der Übermittlung ab.<br />
Das Gastbetriebssystem geht ggf. davon aus, dass die Pakete verworfen wurden.<br />
Betrieb im Promiscuous-Modus<br />
Der Promiscuous-Modus deaktiviert jegliche Empfangsfilterung, die der virtuelle Netzwerkadapter normalerweise<br />
ausführen würde, sodass das Gastbetriebssystem den gesamten Datenverkehr aus dem Netzwerk<br />
empfängt. Standardmäßig kann der virtuelle Netzwerkadapter nicht im Promiscuous-Modus betrieben werden.<br />
Zwar kann der Promiscuous-Modus <strong>für</strong> die Nachverfolgung von Netzwerkaktivitäten nützlich sein, aber er<br />
ist ein unsicherer Betriebsmodus, da jeder Adapter im Promiscuous-Modus Zugriff auf alle Pakete hat, auch<br />
wenn manche Pakete nur <strong>für</strong> einen spezifischen Netzwerkadapter bestimmt sind. Das bedeutet, dass ein Administrator<br />
oder Root-Benutzer in einer virtuellen Maschine rein theoretisch den Datenverkehr, der <strong>für</strong> andere<br />
Gast- oder Hostbetriebssysteme bestimmt ist, einsehen kann.<br />
HINWEIS Unter bestimmten Umständen ist es notwendig, einen virtuellen Switch in den Promiscuous-Modus<br />
zu setzen, zum Beispiel wenn Sie eine Software <strong>zur</strong> Netzwerkeinbruchserkennung oder einen Paket-Sniffer<br />
verwenden.<br />
Internet Protocol Security (IPsec)<br />
Internet Protocol Security (IPsec) sichert die von einem Host ausgehende und bei diesem eingehende IP-Kommunikation.<br />
<strong>ESX</strong>-Hosts unterstützen IPsec mit IPv6.<br />
Wenn Sie IPsec auf einem Host einrichten, aktivieren Sie die Authentifizierung und Verschlüsselung ein- und<br />
ausgehender Pakete. Wann und wie der IP-Datenverkehr verschlüsselt wird, hängt davon ab, wie Sie die<br />
Sicherheitsverbindungen und -richtlinien des Systems einrichten.<br />
<strong>VMware</strong>, Inc. 185