Das Forum wurde aktualisiert. Wurde höchste Zeit. Wenn etwas nicht funktioniert, bitte gerne hier jederzeit melden.

ESXi absichern

Moderatoren: Dayworker, continuum, Tschoergez, irix

Member
Beiträge: 19
Registriert: 13.04.2015, 14:33

ESXi absichern

Beitragvon RichieX » 08.06.2018, 14:59

Es soll ein ESXi 5.5 auf einem Dedizierten Server im Rechenzentrum gehostet werden. Der ESXi bekommt vom Provider eine öffentliche IP-Adresse. Wie kann ich das System hinreichend absichern? Hat jemand in in diesem Einsatzbereich schon Erfahrungen?

Benutzeravatar
Member
Beiträge: 132
Registriert: 23.01.2009, 16:45

Re: ESXi absichern

Beitragvon Skywalker » 08.06.2018, 15:52

willst ihn vor Rechenzentrumsmitarbeitern absichern? Dann goolge mal Lockdown modus.
Oder vorm Internet absichern? Dann google mal hardening guide.

Member
Beiträge: 19
Registriert: 13.04.2015, 14:33

Re: ESXi absichern

Beitragvon RichieX » 08.06.2018, 18:03

Vorerst steht die Absicherung aus dem Internet an. Später werde ich mich auch um die physische Absicherung kümmern (müssen).

Guru
Beiträge: 2617
Registriert: 27.12.2004, 22:17

Re: ESXi absichern

Beitragvon rprengel » 09.06.2018, 06:23

RichieX hat geschrieben:Vorerst steht die Absicherung aus dem Internet an. Später werde ich mich auch um die physische Absicherung kümmern (müssen).


Hast du einen KVM Zugang zum Host. Will fragen kommst du auf die Vmware Console?
Wenn ja ssh aus und in der Firewall alles blocken und bei Bedarf ssh einschalten bzw. einzelne Ports frei geben . Zugriff regulär nur über einen laufenden jumphost der nur ein VPN Gateway ist und du solltest durch sein.
Gruss

Member
Beiträge: 146
Registriert: 01.12.2015, 18:35

Re: ESXi absichern

Beitragvon Stefan.r » 09.06.2018, 10:54

evt einen Hoster nehmen wo der esx nur hinter dem vpn steht wenn die Wahl noch nicht gefallen ist

Guru
Beiträge: 2617
Registriert: 27.12.2004, 22:17

Re: ESXi absichern

Beitragvon rprengel » 09.06.2018, 14:34

Stefan.r hat geschrieben:evt einen Hoster nehmen wo der esx nur hinter dem vpn steht wenn die Wahl noch nicht gefallen ist


Welcher Hoster bietet das an?

Gruss

Member
Beiträge: 146
Registriert: 01.12.2015, 18:35

Re: ESXi absichern

Beitragvon Stefan.r » 09.06.2018, 18:56

rprengel hat geschrieben:
Stefan.r hat geschrieben:evt einen Hoster nehmen wo der esx nur hinter dem vpn steht wenn die Wahl noch nicht gefallen ist


Welcher Hoster bietet das an?

Gruss


https://datafabrik.de/ da sind wir zu.b, 2 Netze, Public sind alle vms(83.er Netz), der Host selbst ist in nem eigenen Netz nur per openvpn Erreichbar(10. Netz), haben da auch noch ein NAS mit (ist son bischen zweischeidig, hatten am Anfang gerne mal sporadisch abschmieren des Servers aber der Support ist gut, kostenfrei eine Platte eingebaut bekommen um Vsphere 6.0 auf 6.7 upgraden zu können)

https://www.nimblu.com (ex Hosteurope) bei unserer Erfahrung(mit Hosteurope) würde ich den aber meiden, ungepatchten ESX mit root am public Netz super Idee

Member
Beiträge: 19
Registriert: 13.04.2015, 14:33

Re: ESXi absichern

Beitragvon RichieX » 11.06.2018, 14:25

Danke erstmal für die zahlreichen Beiträge und Ideen.

Der Anbieter steht mittlerweile fest und der ESX ist auch bereits installiert und läuft soweit aber noch nicht im produktiven Einsatz. Das System ist durchgepatcht. Der Anbieter ist Hetzner. Ein geschütztes Netz, in der der ESXi laufen könnte, wird m.W. nicht angeboten. KVM zum Host kann ich beantragen und wird dann bereitgestellt. Die Wartezeit liegt bei 1-2h werktags in üblicher Arbeitszeit. Also komplett abriegeln ist eher nicht so günstig.

Dieser Beitrag https://www.pc-howto.com/esxi_dedicated_rootserver/ beschreibt, wie ich vSphere Client und SSH Port nur für bestimmte IPs öffne. Das kling soweit gut. Was ist aber mit den anderen Ports? Sollten die nicht auch geschlossen werden? Oder lege ich da das System komplett lahm?

Guru
Beiträge: 2617
Registriert: 27.12.2004, 22:17

Re: ESXi absichern

Beitragvon rprengel » 11.06.2018, 14:42

RichieX hat geschrieben:Danke erstmal für die zahlreichen Beiträge und Ideen.

Der Anbieter steht mittlerweile fest und der ESX ist auch bereits installiert und läuft soweit aber noch nicht im produktiven Einsatz. Das System ist durchgepatcht. Der Anbieter ist Hetzner. Ein geschütztes Netz, in der der ESXi laufen könnte, wird m.W. nicht angeboten. KVM zum Host kann ich beantragen und wird dann bereitgestellt. Die Wartezeit liegt bei 1-2h werktags in üblicher Arbeitszeit. Also komplett abriegeln ist eher nicht so günstig.

Dieser Beitrag https://www.pc-howto.com/esxi_dedicated_rootserver/ beschreibt, wie ich vSphere Client und SSH Port nur für bestimmte IPs öffne. Das kling soweit gut. Was ist aber mit den anderen Ports? Sollten die nicht auch geschlossen werden? Oder lege ich da das System komplett lahm?


Lahm legen wirst du den ESX nicht, du kommst nur bei einem Fehler nicht mehr dran. Daher der Hinwweis auf KVM.
Was deinen dann laufenden VMs ggf. an Ports benötigen ist ein anderes Thema aber eigentlich sollte das transparent durch gehen.
Ich würde hat nur alles durch eine virtuelle Firewall-Appliance laufen lassen (z.B. Sophos) und dann auf dem ESX in einem sauber vom Host getrennten Netz die VMs betreiben.
Dann hast nur 2 Angriffsfächen von aussen, den ESX Host und die Firewall von aussen und nicht jede einzelen VM.
Gruss

Member
Beiträge: 19
Registriert: 13.04.2015, 14:33

Re: ESXi absichern

Beitragvon RichieX » 11.06.2018, 15:08

Ich würde hat nur alles durch eine virtuelle Firewall-Appliance laufen lassen (z.B. Sophos) und dann auf dem ESX in einem sauber vom Host getrennten Netz die VMs betreiben.
Dann hast nur 2 Angriffsfächen von aussen, den ESX Host und die Firewall von aussen und nicht jede einzelen VM.
Gruss

Das ist so geplant. Mir geht es nur um die Absicherung des ESX selbst. Die Frage diesem Beitrag war vielleicht missvertändlich: Kann ich alle Ports dicht machen und nur bestimmte IPs durchlassen? Wenn ich alle Ports dicht mache und nur bestimmte IPs genehmige, sollte ich dann auch 127.0.0.1 hinzunehmen, damit die Dienste untereinander sich noch erreichen? Das wird im Beitrag nicht so richtig beschrieben.

Guru
Beiträge: 2617
Registriert: 27.12.2004, 22:17

Re: ESXi absichern

Beitragvon rprengel » 11.06.2018, 15:25

RichieX hat geschrieben:
Ich würde hat nur alles durch eine virtuelle Firewall-Appliance laufen lassen (z.B. Sophos) und dann auf dem ESX in einem sauber vom Host getrennten Netz die VMs betreiben.
Dann hast nur 2 Angriffsfächen von aussen, den ESX Host und die Firewall von aussen und nicht jede einzelen VM.
Gruss

Das ist so geplant. Mir geht es nur um die Absicherung des ESX selbst. Die Frage diesem Beitrag war vielleicht missvertändlich: Kann ich alle Ports dicht machen und nur bestimmte IPs durchlassen? Wenn ich alle Ports dicht mache und nur bestimmte IPs genehmige, sollte ich dann auch 127.0.0.1 hinzunehmen, damit die Dienste untereinander sich noch erreichen? Das wird im Beitrag nicht so richtig beschrieben.


Nach meinem Stand beziegt sich die Firewall nur auf den ESX Host und seine Dienste.
Das durchlassen bstimmer IPs zu deinem VMs übernimmt dann virtuelle Firewall.
Ob 127.0.0.1 aktiv sein muss = ???
Ich würd emich an den Default halten den ESX bei der Installation konfiguriert.

Gruss
Ralf

Member
Beiträge: 19
Registriert: 13.04.2015, 14:33

Re: ESXi absichern

Beitragvon RichieX » 11.06.2018, 15:44

Nach meinem Stand beziegt sich die Firewall nur auf den ESX Host und seine Dienste.

Das ist mir schon klar. Die Firewall deckt nur den ESX Host ab. Auf keinem Fall die VMs.

Das durchlassen bstimmer IPs zu deinem VMs übernimmt dann virtuelle Firewall.

Ja. So soll das werden. Für die "Router-VM" hab ich schon eine weitere IP mir geholt.
Ob 127.0.0.1 aktiv sein muss = ???

Genau das ist hier die entscheidende Frage. Wie muss die Konfiguration aussehen?
Ich würd emich an den Default halten den ESX bei der Installation konfiguriert.

Das würde bedeuten, alles ist offen. Diesen Zustand möchte ich gerne ändern.

Guru
Beiträge: 2617
Registriert: 27.12.2004, 22:17

Re: ESXi absichern

Beitragvon rprengel » 11.06.2018, 16:15

RichieX hat geschrieben:
Nach meinem Stand beziegt sich die Firewall nur auf den ESX Host und seine Dienste.

Das ist mir schon klar. Die Firewall deckt nur den ESX Host ab. Auf keinem Fall die VMs.

Das durchlassen bstimmer IPs zu deinem VMs übernimmt dann virtuelle Firewall.

Ja. So soll das werden. Für die "Router-VM" hab ich schon eine weitere IP mir geholt.
Ob 127.0.0.1 aktiv sein muss = ???

Genau das ist hier die entscheidende Frage. Wie muss die Konfiguration aussehen?
Ich würd emich an den Default halten den ESX bei der Installation konfiguriert.

Das würde bedeuten, alles ist offen. Diesen Zustand möchte ich gerne ändern.


127.0.0.1 offen nach aussen?
Ich meine nur die Kogig dafür. Der Rest muss natürlich dicht gemacht werden.

Gruss


Zurück zu „vSphere 5.5 / ESXi 5.5“

Wer ist online?

Mitglieder in diesem Forum: Majestic-12 [Bot] und 2 Gäste