Sicherheit NFS Storage für Backup von VMs?

[xray]

Hallo zusammen,

ich mache gerade die ersten Versuche mit meinem ESXi 5 (free).
Ich habe auf meiner Qnap 439 NAS einen NFS Speicher für ISO Image für den ESXi eingerichtet und eingebunden, funktioniert problemlos.

Wie ich sehe, kann ich für NFS 3 als Sicherheit den Zugriff nur über die IP eingrenzen, nicht über Benutzername/PW. Als IP Einschränkung habe ich die IP den VMHosts angegeben.

Nun möchte ich mit ghettoVCB Backups meiner VMs auf dem NFS Speicher ablegen.
Kann ich den Zugriff auf den NFS Share noch besser absichern außer über IP?

Es hängen noch andere Rechner an dem VLAN, in dem die NAS und der VMHost hängen, das geht nicht anders. Wenn jemand dieselbe IP wie die des VmHosts verwendet, wird der Switch natürlich motzen, aber bekommt er dann nicht dennoch Zugriff auf den NFS Share?

Die VMBackups auf dem NFS verschlüsselt zu speichern, wäre natürlich eine alternative, aber wie kann ich das einfach mit ghettoVCB realisieren?

[xray]

Scheint ja durchaus eine interessante Frage, aber hat sich damit wirklich noch niemand außeinandergesetzt, wie das mit der IP Sicherheit bei NFS3 Storage ist?

[Tschoergez]

Hi!
Du kannst bei NFS kein User/Password-Atuhentifizierung machen. Das ist keine Einschränkung vom ESX, sonder vom NFS-Protokoll.

Wenn Dir die Filterung nach IP nicht ausreicht:
- Bau ein extra VLAN, nur mit dem NFS-Server und einem extra vmkernel-Port
oder
- nimm iSCSI, da gibt die Möglichkeit, Initiator und Target gegenseitig via Username/Password authentifizieren zu lassen...

Viele Grüße,
Jörg

[xray]

Hm zumindest bei NFS3 gehen User/PW meines Wissens nicht. Schade, dass ESXi kein NFS4 unterstützt. VLAN ist in meinem Falle nur eine rudimentäre Lösung, da ich noch andere Rechner im VLAN zwingend brauche...

Gibts ne einfache Verschlüsselungslösung für ghettoVCB Backup, damit zumindest die Ablage des Backups auf dem NAS gesichert ist, falls jemand NFS "missbraucht"?

Wie ist denn die Situation, wenn es 2 gleiche IPs im Netz gibt, weil jemand versucht, auf meine NFS Storage zu kommen, das wird durchgehen nehme ich an, der Switch blockiert den "zweiten" Nutzer mit derselben IP nicht oder, weil er nur auf MAC Basis arbeitet?

[Tschoergez]

Wenn Du ein weiteres VLAN anlegst, in dem dann nur der NFS-Server und ein zusätzlicher esx-vmkernel-port hängen, hast Du eine Trennung.

Wg. ghettoVCB: schreib doch mal den Autor an! Ich wüsste allerdings nicht, dass es da was gibt.

Mit der zweite IP: it depends: Dem Switch ist das ganze egal, "geregelt" wird das in den IP-Stacks des NFS-Servers, des ESX und des Angreiferrechners. Wenn Du da mehr wissen willst, mach dich mal über das ARP-Protokoll schlau. Das übernimmt die notwendige Zuordnung von IP-Adressen zu zugehörigen MAC-Adressen.
Wenn Du so einen Angriff selber mal nachvollziehen willst: Cain&Abel ist ein nützliches Tool für alle möglichen Spoofing-Angriffen.

Viele Grüße,
Jörg