Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Configurando el servidor de seguridad de ESXi en vSphere 5 de VMware

El hypervisor ESXi 5 tiene un nuevo servidor de seguridad. Lo puede configurar a través de vSphere Client o con una línea de comandos dependiendo en su preferencia.

VSphere 5 de VMware  incorpora un cortafuegos al hipervisor ESXi que se puede configurar a través de vSphere Client o la línea de comandos. Este elemento añade una prestación a ESXi 5 que anteriormente sólo se encontraba en el hipervisor ESX, que ya está fuera de catálogo.

 VMware alegaba, para no incorporar de inicio el firewall, que ESXi no lo necesitaba porque se trataba de un hipervisor light que apenas tenía servicios o puertos abiertos, con lo que no apenas había nada que atacar.

En mi opinión que VMware añadió un cortafuegos a ESXi por varias razones. Primero, con un cortafuegos, ESXi 5 recupera una funcionalidad notable que ya estaba en los viejos servidores ESX. Asimismo, la existencia de un cortafuegos indica a sus clientes y socios que VMware se toma la seguridad en serio. Finalmente, vSphere 5 sigue siendo tan seguro como antes, o incluso más.

CINCO COSAS QUE HAY QUE SABER ACERCA DEL FIREWALL DE ESXI 5

  • Es un cortafuegos sin estado basado en servicios ESXi.
  • Está habilitado por defecto.
  • Está ubicado entre la interfaz de administración del host ESXi y la red de administración en la red de área local.
  • Configurable a través de vSphere Client. Ir a Host Configuration > Software > Security Profile.
  • Es también configurable mediante vSphere Management Assistance  o directamente a través del servidor ESXi usando el comando esxcli. También puede usted usar PowerCLI

Al igual que el cortafuegos del servidor ESX, el nuevo firewall de ESXi protege sólo la interfaz de administración, no las máquinas virtuales individuales. Es un cortafuegos orientado al servicio y sin estado, lo que significa que no hace seguimiento de las conversaciones en la red y examina cada paquete que pasa por él. Dicho esto, el firewall de ESXi incorpora un motor diferente que elimina el uso de los iptables y conjuntos de reglas que definen las reglas de los puertos para los servicios. Para anfitriones remotos, usted puede especificar las direcciones o rango de direcciones de IP permitidas para acceder a cada servicio. Estos parámetros se pueden configurar con vSphere Client o la línea de comandos.

Configurar el firewall de ESXi con vSphere Client 


El cortafuegos de ESXi 5 está habilitado por defecto y se encuentra entre la interfaz de administración del servidor ESXi y la red.

Una vez instalado, el cortafuegos está configurado para bloquear el tráfico entrante y saliente, excepto por los puertos TCP y UDP que funcionan por defecto para el acceso de administración, como SSH (22), DNS (53), DHCP (68). Hay que señalar que el puerto ICMP (ping) está habilitado para cada ESXi anfitrión por defecto.

La lista de puertos TCP y UDP entrantes y salientes puede verse y editarse en vSphere Client. En Host Configuration, hacer clic en Software Security Profile. Desde aquí, seleccione Properties y verá la pantalla de abajo.

Observará que el firewall de ESXi está enlazado a los servicios en el anfitrión, los cuales son procesos para acceder a la red. Si se crea un servicio y hay un recuadro de comprobación junto a él, el tráfico de servicio puede atravesar el cortafuegos.

Usted también puede definir la dirección o rango de direcciones IP que pueden acceder al ESXi anfitrión a través de puertos definidos. Para ello, haga clic en el botón Firewall e ingrese las direcciones de IP autorizadas.

Configurar el firewall de ESXi desde la línea de comandos


Para configurar el anfitrión se puede usar PowerCLI, vSphere Management Assistant o la línea de comandos en el ESXi anfitrión. Pero primero de todo es preciso habilitar el  modo Tech Support y/o modo Remote Tech Support en el host. Tras habilitar el modo Remote Tech Support, por ejemplo, yo me conecté a mi anfitrión ESXi 5 por medio de Secure Shell. Los siguientes archivos son críticos para configurar el cortafuegos:

Rule set configuration file: (/etc/vmware/firewall/service.xml) Este archivo contiene las reglas por defecto del firewall, incluidos puertos y protocolos.
Service configuration file: (/etc/vmware/services/service.xml) Este archivo contiene una lista de los servicios por defecto y los grupos de reglas del firewall.  

Usted puede habilitar y deshabilitar las reglas, así como iniciar y detener
servicios desde la línea de comandos. Puede añadir reglas adicionando
nuevos archivos XML al directorio /etc/vmware/firewall. Posteriormente,
use el comando “esxcli network firewall refresh” para habilitar los cambios.

Ese comando también puede habilitar/deshabilitar el firewall por
completo, habilitar/deshabilitar reglas o añadir/eliminar direcciones o
rangos de direcciones IP a las reglas del firewall.

Este artículo se actualizó por última vez en julio 2011

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close