web-dev-qa-db-ja.com

ファイアウォールなしでパブリックIPでホストされているESXi

だから私は興味深い問題を抱えています。

現在、Hetzner(ドイツのホスティングプロバイダー)からサーバーをいくつかレンタルしています。各サーバーにはソフトファイアウォールがあり、Webホスティング/データベースのようなものを実行します。

物理的なNICとpfSense VMに接続されたvSwitch、およびpfSense VMから他のvSwitchに接続された別のvSwitchを使用して、より強力なサーバーをレンタルし、ESXiのようなハイパーバイザーをセットアップします。残念ながら、Hetznerはパブリックインターフェイスとサーバーの間にハードウェアファイアウォールを提供していないようです(ソフトファイアウォールを唯一のオプションとして残しています)。

このようにESXi(v5.5)を公共の場所で実行すると、セキュリティにどのような影響がありますか?クイック調査が示唆 spiceworksのこのスレッド これは、SSH /コンソール(telnet?)アクセスを無効にし、適切なSSL証明書と非常に複雑で推測不可能なユーザー名/パスワードのペアを設定することとして要約します。単一エントリの攻撃ポイントの明らかな含意。

7
test-in-prod

ESXiファイアウォールを通過できるIPアドレスを制限できます。

http://pubs.vmware.com/vsphere-50/index.jsp?topic=%2Fcom.vmware.vcli.examples.doc_50%2Fcli_manage_networks.11.11.html

それを強化するために必要なのは、これだけです。管理を特定のIPアドレスに制限することは非常に安全です。当然、パスワードなどに関する他のベストプラクティスに従ってください。

ファイアウォールを完全に確認し、すべてを管理IPにロックしてください。

非静的IP代替

ロックall上記のように127.0.0.1までのポートexcept SSHの場合。 SSHを秘密鍵/公開鍵認証のみにロック そして、ChallengeResponseAuthenticationとPasswordAuthenticationを無効にします。これはvery安全です。

お気に入りのSSHクライアントを使用して、次のようなコマンドラインでサーバーに接続します。

ssh my.vmhost.rackhoster -L80:localhost:80 -L443:localhost:443 -L903:localhost:903

次に、SSHセッションを実行したままにし、ブラウザにhttps://localhost/とすると、ポート443が自動的にESXiホストに転送されます。ローカルマシンですでにポート443を使用している場合はポートを変更します(つまり、代わりに-L8443:localhost:443を使用します)-> https://localhost:8443/)。ポート80についても同様です。ポート903はコンソール用です。

秘密鍵を紛失した場合、この方法でかなり台無しにされてしまいますback it up! :-)

高度なセキュリティのために、秘密鍵が適切なパスフレーズで暗号化されていることを確認してください。 忘れないでください!

9
Ian Macintosh

ESXiの組み込みファイアウォールを使用して、不要なポートを閉じ、開いているポートへのアクセスを既知のIPアドレスの範囲に制限します。

(ほとんどの人のように)固定外部IPアドレスを自宅で使用しない場合、これは困難な場合があるため、インターネット上にある他のサーバーのアドレスへのアクセスを制限することになります。

4
VFrontDe

なぜパブリックネットでESXを実行するのですか? pfSense FWを「パブリックエンドポイント」として使用し、その他すべてをプライベートにできないのではないですか。これが私のやり方です。

0
MichelZ