Ich habe also ein interessantes Problem.
Ich vermiete derzeit ein paar Server bei Hetzner (einem deutschen Hosting-Anbieter). Jeder Server hat eine weiche Firewall und macht so etwas wie Webhosting / Datenbank.
Ich möchte einen leistungsstärkeren Server mieten und einen Hypervisor wie ESXi darauf einrichten, mit einem vSwitch, der mit einer physischen Netzwerkkarte und einer pfSense-VM verbunden ist, und einem weiteren vSwitch von der pfSense-VM zu anderen VMs. Leider scheint Hetzner keine Hardware-Firewall zwischen der öffentlichen Schnittstelle und Ihrem Server bereitzustellen (die weiche Firewall bleibt die einzige Option).
Was sind die Sicherheitsauswirkungen einer solchen öffentlichen Ausführung von ESXi (v5.5)? Schnelle Nachforschungen haben diesen Thread zu Spiceworks vorgeschlagen, der zusammenfasst, dass der SSH / Console-Zugriff (Telnet?) Deaktiviert und das richtige SSL-Zertifikat sowie ein sehr komplexes, nicht erratbares Paar aus Benutzername und Kennwort eingerichtet werden. Mit der offensichtlichen Implikation eines Single-Entry-Angriffspunkts.
quelle
Antworten:
Sie können die durch die ESXi-Firewall zulässigen IP-Adressen einschränken.
http://pubs.vmware.com/vsphere-50/index.jsp?topic=%2Fcom.vmware.vcli.examples.doc_50%2Fcli_manage_networks.11.11.html
Das ist wirklich alles, was Sie brauchen, um es zu härten. Das Sperren Ihres Managements auf bestimmte IP-Adressen ist sehr sicher. Befolgen Sie natürlich auch die anderen Best Practices für Passwörter usw.
Stellen Sie einfach sicher, dass Sie die Firewall vollständig betrachten und alles für Ihre Management-IPs sperren.
Nicht statische IP-Alternative
Sperren Sie alle Ports auf 127.0.0.1 wie oben angegeben, mit Ausnahme von SSH. Sperren Sie SSH nur für die Authentifizierung mit privatem / öffentlichem Schlüssel und deaktivieren Sie ChallengeResponseAuthentication und PasswordAuthentication. Das ist sehr sicher.
Verwenden Sie Ihren bevorzugten SSH-Client, um über eine Befehlszeile eine Verbindung zum Server herzustellen:
ssh my.vmhost.rackhoster -L80: localhost: 80 -L443: localhost: 443 -L903: localhost: 903
Lassen Sie dann die SSH-Sitzung laufen und zeigen Sie auf Ihren Browser.
https://localhost/
Port 443 wird automatisch an den ESXi-Host weitergeleitet. Ändern Sie die Ports, wenn Sie bereits Port 443 auf Ihrem lokalen Computer verwenden (dh -L8443: localhost: 443 statt ->https://localhost:8443/
). Gleiches gilt für Port 80. Port 903 gilt für die Konsole.Wenn Sie jemals Ihren privaten Schlüssel verlieren, sind Sie auf diese Weise ziemlich durcheinander, also sichern Sie ihn! :-)
Stellen Sie aus Gründen der Sicherheit sicher, dass Ihr privater Schlüssel mit einer guten Passphrase verschlüsselt ist. Vergiss es nicht!
quelle
Verwenden Sie die in ESXi integrierte Firewall, um nicht benötigte Ports zu schließen und den Zugriff auf die offenen auf einen Bereich bekannter IP-Adressen zu beschränken.
Dies kann eine Herausforderung sein, wenn Sie zu Hause keine feste externe IP-Adresse verwenden (wie die meisten Menschen), sodass Sie möglicherweise den Zugriff auf die Adressen einiger anderer Server im Internet einschränken.
quelle
Warum sollten Sie ESX im öffentlichen Netz ausführen? Können Sie nicht einfach die pfSense FW als "öffentlichen Endpunkt" verwenden und alles andere privat machen? So würde ich es machen.
quelle