Forma recomendada de configurar um ambiente seguro do ESXi com um intervalo publicamente acessível e 2 NICs

Navegue suas respostas
3
Sou bastante novo no ESXi, mas decidi mergulhar nisso, mas descobri que as coisas não são tão fáceis quanto eu esperava que fossem (sem dúvida, isso é causado principalmente por minha falta de conhecimento sobre o assunto.) desta vez).

O que eu tenho:

  • Um servidor dedicado com 1 NIC executando o ESXi
  • Um único endereço IP (público) para o host
  • Um conjunto de endereços IP (públicos) destinados a qualquer uso. Para manter as coisas simples, vamos imaginar um único servidor web por enquanto.

O que eu quero alcançar:

  • Gerenciamento seguro do ESXi; Eu realmente sinto que um host de gerenciamento publicamente acessível está errado.
    • Eu não tenho roteadores físicos à minha disposição, por isso não posso ocultar o host por trás de uma VPN física.
  • Acesso público a alguns dos meus sistemas convidados
  • Convidados adicionais precisam se sentar em uma rede privada.
  • Convidados públicos e privados devem, opcionalmente, poder se comunicar por meio da rede privada.

Atualmente, estou um pouco perdido em como lidar com isso. Eu provavelmente seria capaz de fazer algo funcionar, mas eu não quero começar da maneira errada ou fazer escolhas que acabam sendo inseguras.

Qualquer ajuda é apreciada.

ATUALIZAÇÃO: o que consegui até agora (e captura de tela da rede) :

  • O ESXi está em funcionamento, ainda na interface pública
  • Eu configurei um convidado pfSense
  • Configurei uma área de trabalho DSL para acessar o convidado do pfSense por meio da rede privada.

Ainda sinto que esconder o ESXi por trás de uma VPN virtual é bastante arriscado, pois não tenho acesso ao console. Se eu estou olhando para algo, ou quaisquer alternativas são possíveis, eu realmente gostaria de saber.

    
por Aron Rotteveel 24.01.2012 / 21:51

4 respostas

6

Em poucas palavras:

  1. Crie (pelo menos) dois vSwitches, um "público", conectado a uma das NICs do servidor e uma "privada", que não está conectada a nenhuma NIC física.
  2. Escolha uma sub-rede RFC1918 para usar no vSwitch particular, digamos 10.0.0.0/24 .
  3. Instale o pfSense em uma VM, atribua sua interface WAN ao vSwitch público e sua interface de LAN ao vSwitch particular. Além disso, atribua a porta de gerenciamento do VMware vKernel ao vSwitch privado.
  4. Configure uma VPN no pfSense junto com o roteamento apropriado para chegar à rede privada. O OpenVPN é muito fácil de configurar, mas o IPsec também seria bom.
  5. Para qualquer VM de servidor que você tenha, atribua sua interface à rede privada.
  6. Crie IPs virtuais no pfSense para o restante de seus endereços IP públicos e, em seguida, configure as encaminhamento de porta para quaisquer serviços que você precise que as pessoas acessem de fora do host.

Neste ponto, a VM do pfSense será a única maneira de obter tráfego do lado de fora para o restante de seus servidores e interfaces de gerenciamento. Assim, você pode especificar regras muito específicas sobre qual tráfego é permitido e qual é bloqueado. Você poderá usar o vSphere Client depois de se conectar à VPN que você configurou na etapa 4.

    
por 24.01.2012 / 22:54
1

Parece que você está fora das opções se todos os cenários propostos - adicionar outro dispositivo (seja um roteador ou uma máquina diferente dentro da mesma rede), comprar um serviço VPN de seu provedor de hospedagem ou criar uma máquina virtual em seu host ESXi que manipula o tráfego da VPN não é um bom ajuste.

A melhor coisa que você obteria do ESXi é um filtro de pacotes sem estado (disponível no ESXi5). O que eu sugeriria fazer aqui:

  • filtre tudo, exceto HTTPS (tcp / 443) e VMRC (tcp / 903) (e talvez SSH (tcp / 22) se você estiver trabalhando com o modo de suporte técnico) - usando o firewall ESXi ou solicitando ao seu provedor de hospedagem definir filtros
  • carregar um certificado verificável (você precisaria obter um de uma CA pública se as estações de gerenciamento tenderem a mudar ou se você tiver muitas delas)
  • definir senhas complexas para todos os usuários
  • exponha a interface de gerenciamento publicamente.
por 25.01.2012 / 10:42
0

Como até mesmo um roteador doméstico / SMB seria melhor que nada e barato, você poderia colocar algo entre seus sistemas ESX e o externo? Você poderia então usar o roteador para encaminhar apenas as portas necessárias para os sistemas e ter um sistema ESX mais seguro.  Seria bastante simples e o custo é baixo. Você poderia, pelo menos, fazê-lo funcionar com relativa segurança

    
por 24.01.2012 / 22:09
0

Apenas minha opinião ...

  1. Os loops de rede no ESX são apenas uma preocupação se você for o VM homing duplo, caso contrário, não há nada com o que se preocupar. Na verdade, em uma configuração típica do ESX, você tem pelo menos dois links para cada switch e eles normalmente estão ativos / ativos. Portanto, se houver alguma maneira possível de obter essa segunda configuração de NIC em uma rede privada que só pode ser acessada por VPN ou de alguma outra maneira segura, essa é a maneira correta de configurar isso.
  2. Como suas mãos estão amarradas, saiba que o ESX tem um firewall. Então, eu olharia para ter certeza de que está bloqueado para que só possa ser gerenciado por um intervalo de IP muito específico. Você vai querer fazer isso tanto para o SSH quanto para o seu console de GUI Se você me disser qual versão do ESXi você está usando, eu lhe darei mais algumas informações.
  3. O pfsense parece uma boa configuração, embora se você pudesse encontrar alguma forma de obter algo pequeno como o Cisco ASA 5505, seria um mundo de melhorias para você.
por 26.01.2012 / 00:52

Tags

cisco catalyst 2960S, qual versão do software para atualizar? Guia para Iniciantes do SNMP? [fechadas]