ESXi hospedado em IP público sem firewall

Navegue suas respostas
6

Então, tenho um problema interessante.

Atualmente alugo alguns servidores da Hetzner (um provedor de hospedagem alemão). Cada servidor tem um firewall macio e faz algo como hospedagem / banco de dados.

Eu gostaria de alugar um servidor mais robusto e configurar um hipervisor como o ESXi nele com um vSwitch conectado à NIC física e uma VM pfSense e outro vSwitch da VM do pfSense para outras VMs. Infelizmente, o Hetzner não parece fornecer um firewall de hardware entre a interface pública e seu servidor (deixando o firewall flexível como a única opção).

Quais são as implicações de segurança de executar o ESXi (v5.5) em público assim? Pesquisa rápida sugeriu este tópico sobre spiceworks que resume como desabilitando o acesso SSH / Console (telnet?) e configurando o certificado SSL apropriado e um par de nome de usuário / senha muito complexo e unguessável. Com a implicação óbvia do ponto de ataque de entrada única.

    
por Crypton 03.07.2014 / 04:44

3 respostas

8

Você pode limitar os endereços IP permitidos pelo firewall do ESXi.

link

Isso é tudo o que você precisa para endurecer. Bloquear seu gerenciamento até endereços IP específicos é muito seguro. Naturalmente, siga também as outras boas práticas sobre senhas, etc.

Assegure-se de analisar completamente o firewall e bloquear tudo para os seus IPs de gerenciamento.

Alternativa de IP não estático

Bloqueie todas as portas até 127.0.0.1, como acima, exceto para SSH. Bloqueie o SSH para baixo apenas para autenticação de chave privada / pública e desative ChallengeResponseAuthentication e PasswordAuthentication. Isso é muito seguro.

Use seu cliente SSH favorito para se conectar ao servidor com uma linha de comando, como:

ssh my.vmhost.rackhoster -L80: localhost: 80 -L443: localhost: 443 -L903: localhost: 903

Em seguida, deixe a sessão SSH em execução e aponte seu navegador para https://localhost/ e ele encaminhará automaticamente a porta 443 para o host ESXi. Altere as portas se você já estiver usando a porta 443 em sua máquina local (isto é, -L8443: localhost: 443 em vez disso - > https://localhost:8443/ ). O mesmo para a porta 80. A porta 903 é para o console.

Se você perder sua chave privada, você está muito ferrado dessa forma, então faça o backup! : -)

Para segurança ultra, garanta que sua chave privada seja criptografada com uma boa senha. Não se esqueça disso!

    
por 03.07.2014 / 10:16
4

Use o firewall interno do ESXi para fechar portas desnecessárias e limitar o acesso às portas abertas a uma série de endereços IP conhecidos.

Isso pode ser um desafio se você não usar um endereço IP externo fixo em casa (como a maioria das pessoas), assim você pode acabar restringindo o acesso aos endereços de alguns outros servidores que você tem na Internet.

    
por 03.07.2014 / 10:04
0

Por que você executaria o ESX na rede pública? Você não pode simplesmente usar o pfSense FW como o "endpoint público" e tornar todo o resto privado? É assim que eu faria.

    
por 03.07.2014 / 07:14

Tags

O ProLiant DL380 G7 não inicializa, LED de energia âmbar sólido Trocar sendo usado quando a RAM está quase livre