Cómo configurar y administrar el firewall de ESXi
Garantizar la seguridad de los servidores ESXi y vCenter es una de las responsabilidades esenciales del administrador de una infraestructura virtual.
VMware ofrece muchas funciones para proteger los servidores, incluyendo la capacidad de establecer permisos granulares, mecanismos de autenticación de carpetas, firewalls, switches virtuales de nivel 2 y mucho más.
Conocer las capacidades de estas caracteràsticas y saber utilizarlas es algo fundamental.
Hasta hace algunos años, solo ESX tenàa un firewall, pero con el lanzamiento de vSphere 5 VMware se ha introducido también un firewall para ESXi 5.
Vamos a ver cómo podemos configurar y administrar un firewall de ESXi.
En primer lugar, agregaremos una configuración de seguridad al host de ESXi.
Este incluye un firewall entre la interfaz de administración y la red, la administración de control de acceso se proporciona a través del adaptador de red VMkernel (vmknik).
El firewall viene activo por defecto y bloquea todo el tráfico, a excepción de la administración de los servicios.
Empezamos a configurar el firewall del host deshabilitando el cliente NTP, abrid vSphere Web Client y seleccionad Hosts and Clusters en el menú Home:
Seleccionad el Host de ESXi:
Al pulsar Manage, Settings, se abre el menú System. Seleccionad Security Profile:
Aquà encontraréis la lista de administración de los servicios en las pestañas Incoming y Outgoing, incluyendo los puertos TCP y UDP:
Buscad el campo NTP Client en la lista de Outgoing Connection:
Haced clic en Edit:
Bajad, pinchad en NTP Client en la columna Name y quitad la selección:
Examinad de nuevo la lista de Outgoing Connections, y comprobad que NTP Client no esté en la lista:
Regresad a Edit Security Profile pulsando Edit y en la parte inferior seleccionad NTP Client y comprobad que el estado del cliente sea Stopped:
Ya hemos visto los pasos para deshabilitar el Cliente NTP (NTP Client) y podemos seguir el mismo procedimiento para otros servicios del firewall de ESXi.
Ahora volved a habilitar NTP Client y quitad la selección de Allow connections from any IP address, especificando la IP o subred utilizada por la interfaz de administración de vCenter Server (por ejemplo, con la dirección IP 192.168.2.105 y la subred 255.255.255.0 escribid 192.168.2.0/24).
Se permite la adición de múltiples redes:
Podéis verificar las directivas de seguridad de la lista de Outgoing connections:
Comments