Проброс виртуальной машины ESXi в DMZ
16 May 2012 | Автор: dd |Возникла необходимость высунуть машинку хостящуюся на виртуальной ферме VMware ESXi в дикий интернет, с ограничением доступа к локалке. Точнее возникла необходимость дать к ней доступ левым людям из вне с полными правами на рута. В связи с чем поднялся вопрос о том как пробросить одну из виртуальных машин в DMZ.
Надо отметить, что, порыв сообщества на тему атаки на хост ESXi, я не смог найти достаточно инфы об уязвимостях позволяющих получить доступ к ноде или соседям по ноде, поэтому собственно и решил, что оптимальным решением будет убрать хост в DMZ, предоставив к нему доступ из интернета и закрыв локалку. Другое дело что существуют различные варианты атаки на L2 OSI теоретически позволяющие ломануть DMZ на уровне VLAN’а, но это уже совсем другая история, не имеющая отношения к этой. Тем более что и современные средства организации VLAN’ов предоставляют богатый функционал защиты и минимизируют риски от подобных атак. Если кому то интересно покопать на тему атак на VLAN, то дам несколько ключевых букаф:
CAM flooding;
MAC flooding;
VLAN Cross-talk Attacks;
VLAN Hopping;
ARP spoofing;
Spanning-Tree attacks;
VRRP / HRSP tampering
У VMware, кстати, имеется специальный продукт под это дело, именуемый vShield Zones. Но сейчас не о нем речь.
Так вот- VLAN’ы: VMware понимает VLAN только одного типа Ethernet фреймов 802.1Q. Для организации VLAN желательно использовать технологию virtual switch tagging (VST), которая позволяет предотвратить часть атак L2 направленных на компрометацию MAC адреса, путем запрета его изменения, а также блокировок поддельных передач. Чуть более подробно можно прочесть на офф.сайте VMWare. Более того, в отличии от VGT Mode, VST не требует дополнительно драйвера в операционке для поддержки 802.1Q транка, что естественно является неоспоримым преимуществом в плане простоты и легкости интеграции.
Перед манипуляциями с ESXi необходимо настроить свич, для чего переводим порт к которому подключается ESXi в состояние транка, не забывая про единственно поддерживаемый тип фрейма IEEE 802.1Q (dot1q). В режиме VST Mode ESX/ESXi не поддерживает так называемые родной (native) VLAN ID, поэтому при присвоении портам того же VLAN ID что и на ESXi такие пакеты будут дропаться на стороне VMWare. Более подробно о настройке конфигурации VST, можно на офф.сайте.
Настраиваем VLAN транк на ESXi, для чего открываем WebSphere щелкаем на нашу ноду и в правом фрейме идем Configuration -> Networking -> Properties.
Выбираем виртуальный коммутатор (virtual switch / portgroups) во вкладке Ports и идем в его редактуру: General -> присваиваем номер VLAN в поле VLAN ID -> вкладка NIC Teaming -> из списка Load Balancing выбираем Route based on originating virtual port ID. После этого проверяем что в активных адаптерах кто то есть, после чего все сохраняем и тестим соединение с другой стороной VLAN’а.
Теги: vmware, виртуализация, Сетевые протоколы, Сети