ESXi wird auf einer öffentlichen IP ohne Firewall gehostet

7

Ich habe also ein interessantes Problem.

Ich vermiete derzeit ein paar Server bei Hetzner (einem deutschen Hosting-Anbieter). Jeder Server hat eine weiche Firewall und macht so etwas wie Webhosting / Datenbank.

Ich möchte einen leistungsstärkeren Server mieten und einen Hypervisor wie ESXi darauf einrichten, mit einem vSwitch, der mit einer physischen Netzwerkkarte und einer pfSense-VM verbunden ist, und einem weiteren vSwitch von der pfSense-VM zu anderen VMs. Leider scheint Hetzner keine Hardware-Firewall zwischen der öffentlichen Schnittstelle und Ihrem Server bereitzustellen (die weiche Firewall bleibt die einzige Option).

Was sind die Sicherheitsauswirkungen einer solchen öffentlichen Ausführung von ESXi (v5.5)? Schnelle Nachforschungen haben diesen Thread zu Spiceworks vorgeschlagen, der zusammenfasst, dass der SSH / Console-Zugriff (Telnet?) Deaktiviert und das richtige SSL-Zertifikat sowie ein sehr komplexes, nicht erratbares Paar aus Benutzername und Kennwort eingerichtet werden. Mit der offensichtlichen Implikation eines Single-Entry-Angriffspunkts.

Test-in-Prod
quelle
Dies ist nur eine schlechte Lösung. Ich sehe es hier jedoch viel zu oft gefragt, und ich bin mir nicht sicher, warum Menschen ohne echte Firewall in die Situation geraten.
ewwhite
Was planen Sie auf dem ESX auszuführen? Es könnte einen besseren Weg geben, um das Problem anzugehen. Haben Sie sich bei Webservern mit AWS befasst?
Jonatan
Natürlich haben Sie die Host-Firewall und die Firewall auf den Gästen, aber meiner Meinung nach ist dies so, als würde man die Tresortür offen lassen und die Bankräuber an den Schließfächern herumschlagen lassen. Gibt es keinen Hosting-Anbieter, der eine Firewall beim Ein- / Ausstieg des Netzwerks implementiert?
Joeqwerty
@ewwhite könnte an ungewöhnlichen Umständen wie einem Hosting-Anbieter liegen.
Test-in-Prod
1
@ Jonatan, ich habe mir AWS angesehen, aber ich habe Misstrauen und möchte lieber meine eigenen Daten hosten / behalten
Test-in-Prod

Antworten:

9

Sie können die durch die ESXi-Firewall zulässigen IP-Adressen einschränken.

http://pubs.vmware.com/vsphere-50/index.jsp?topic=%2Fcom.vmware.vcli.examples.doc_50%2Fcli_manage_networks.11.11.html

Das ist wirklich alles, was Sie brauchen, um es zu härten. Das Sperren Ihres Managements auf bestimmte IP-Adressen ist sehr sicher. Befolgen Sie natürlich auch die anderen Best Practices für Passwörter usw.

Stellen Sie einfach sicher, dass Sie die Firewall vollständig betrachten und alles für Ihre Management-IPs sperren.

Nicht statische IP-Alternative

Sperren Sie alle Ports auf 127.0.0.1 wie oben angegeben, mit Ausnahme von SSH. Sperren Sie SSH nur für die Authentifizierung mit privatem / öffentlichem Schlüssel und deaktivieren Sie ChallengeResponseAuthentication und PasswordAuthentication. Das ist sehr sicher.

Verwenden Sie Ihren bevorzugten SSH-Client, um über eine Befehlszeile eine Verbindung zum Server herzustellen:

ssh my.vmhost.rackhoster -L80: localhost: 80 -L443: localhost: 443 -L903: localhost: 903

Lassen Sie dann die SSH-Sitzung laufen und zeigen Sie auf Ihren Browser. https://localhost/Port 443 wird automatisch an den ESXi-Host weitergeleitet. Ändern Sie die Ports, wenn Sie bereits Port 443 auf Ihrem lokalen Computer verwenden (dh -L8443: localhost: 443 statt -> https://localhost:8443/). Gleiches gilt für Port 80. Port 903 gilt für die Konsole.

Wenn Sie jemals Ihren privaten Schlüssel verlieren, sind Sie auf diese Weise ziemlich durcheinander, also sichern Sie ihn! :-)

Stellen Sie aus Gründen der Sicherheit sicher, dass Ihr privater Schlüssel mit einer guten Passphrase verschlüsselt ist. Vergiss es nicht!

Ian Macintosh
quelle
Ich sehe ein potenzielles Problem darin, sich selbst auszusperren, wenn Sie keine statische IP-Adresse haben, egal wo Sie sie verwalten (in meinem Fall - zu Hause).
Test-in-Prod
1
Nicht potentiell. definitiv :-) In diesem Fall könnten Sie (a) in eine statische IP-Adresse investieren oder (b) ein Terminalserver / GUI-Frontend an einer anderen Stelle unter einer statischen IP-Adresse wie dem Büro haben oder (c) eine VPN-Verbindung zu einrichten eine statische IP-Adresse und dann über das VPN verwalten. Natürlich führt jede andere als die erste Option zusätzliche Fehlerquellen ein, wenn auch ziemlich minimal.
Ian Macintosh
Ich habe der Antwort eine weitere Alternative hinzugefügt, bei der Sie überhaupt keinen Zugriff auf eine statische IP-Adresse haben.
Ian Macintosh
Ich werde es zuerst zu Hause versuchen, um zu sehen, wie es funktioniert, aber das scheint, als würde es einfach funktionieren! Vielen Dank! Markierung als Antwort für jetzt
Test-in-Prod
4

Verwenden Sie die in ESXi integrierte Firewall, um nicht benötigte Ports zu schließen und den Zugriff auf die offenen auf einen Bereich bekannter IP-Adressen zu beschränken.

Dies kann eine Herausforderung sein, wenn Sie zu Hause keine feste externe IP-Adresse verwenden (wie die meisten Menschen), sodass Sie möglicherweise den Zugriff auf die Adressen einiger anderer Server im Internet einschränken.

VFrontDe
quelle
0

Warum sollten Sie ESX im öffentlichen Netz ausführen? Können Sie nicht einfach die pfSense FW als "öffentlichen Endpunkt" verwenden und alles andere privat machen? So würde ich es machen.

MichelZ
quelle
Dies hat den Nachteil, dass der ESXi-Server möglicherweise nicht gerettet wird, wenn in der Firewall ein Fehler auftritt.
Jornane
@Jorn: Dann ein HA-Paar Firewalls daraus machen? Funktioniert gut mit pfSense.
MichelZ
1
Wie in der ursprünglichen Frage angegeben, ist dies nicht möglich. Mit diesem Hosting-Anbieter können Sie keinen Server hinter einem anderen Server einrichten (über Switch). Jeder Server, den Sie erhalten, ist mit einer öffentlichen IP verbunden.
Test-in-Prod