Uma máquina virtual que executa um cliente VPN causa negação de serviço para máquinas virtuais no host ou em um cluster vSphere HA

Uma máquina virtual que envia quadros de Unidade de Dados de Protocolo de Ponte (BPDU), por exemplo, um cliente VPN, faz com que algumas máquinas virtuais conectadas ao mesmo grupo de portas percam a conectividade. A transmissão de quadros BPDU também pode interromper a conexão do host ou do cluster pai vSphere HA.

Problema

Uma máquina virtual que deve enviar quadros BPDU faz com que o tráfego para a rede externa das máquinas virtuais no mesmo grupo de portas seja bloqueado.

Se a máquina virtual for executada em um host que faz parte de um cluster vSphere HA, e o host ficar isolado da rede sob determinadas condições, você observará a Negação de Serviço (DoS) nos hosts do cluster.

Causa

Como prática recomendada, uma porta de switch física conectada a um host ESXi tem a proteção de porta rápida e BPDU ativada para impor o limite do Spanning Tree Protocol (STP). Um switch padrão ou distribuído não oferece suporte a STP e não envia quadros BPDU para a porta do switch. No entanto, se qualquer quadro BPDU de uma máquina virtual comprometida chegar a uma porta de switch física voltada para um host ESXi , o recurso de proteção de BPDU desativará a porta para impedir que os quadros afetem a topologia Spanning Tree da rede.

Em certos casos, espera-se que uma máquina virtual envie quadros BPDU, por exemplo, ao implantar uma VPN conectada por meio de um dispositivo de ponte Windows ou por meio de uma função de ponte. Se a porta do comutador físico emparelhada com o adaptador físico que manipula o tráfego desta máquina virtual tiver a proteção BPDU ativada, a porta será desativada por erro e as máquinas virtuais e os adaptadores VMkernel que usam o adaptador físico do host não poderão mais se comunicar com a rede externa .

Se a política de agrupamento e failover do grupo de portas contiver mais uplinks ativos, o tráfego de BPDU será movido para o adaptador para o próximo uplink ativo. A nova porta do switch físico é desativada e mais cargas de trabalho não conseguem trocar pacotes com a rede. Eventualmente, quase todas as entidades no host ESXi podem se tornar inacessíveis.

Se a máquina virtual for executada em um host que faz parte de um cluster vSphere HA, e o host se tornar isolado da rede porque a maioria das portas do switch físico conectadas a ele está desativada, o host primário ativo no cluster move o remetente BPDU máquina virtual para outro host. A máquina virtual começa a desabilitar as portas do switch físico conectadas ao novo host. A migração no cluster vSphere HA eventualmente leva a DoS acumulado em todo o cluster.

Solução

Se o software VPN precisar continuar seu trabalho na máquina virtual, permita que o tráfego saia da máquina virtual e configure a porta do switch físico individualmente para passar os quadros BPDU.

Dispositivo de rede	Configuração
Switch distribuído ou padrão	Defina a propriedade de segurança Transmissão forjada no grupo de portas como Aceitar (Accept) para permitir que os quadros BPDU deixem o host e alcancem a porta do comutador físico. Você pode isolar as configurações e o adaptador físico do tráfego da VPN colocando a máquina virtual em um grupo de portas separado e atribuindo o adaptador físico ao grupo. Cuidado: Definir a propriedade de segurança Transmissão forjada como Aceitar (Accept) para permitir que um host envie quadros BPDU representa um risco de segurança, pois uma máquina virtual comprometida pode executar ataques de falsificação.
Interruptor físico	Mantenha o Port Fast ativado. Ative o filtro BPDU na porta individual. Quando um quadro BPDU chega à porta, ele é filtrado. Observação: Não ative o filtro BPDU globalmente. Se o filtro BPDU estiver ativado globalmente, o modo Port Fast será desativado e todas as portas do switch físico executarão o conjunto completo de funções STP.

Dispositivo de rede

Configuração

Switch distribuído ou padrão

Defina a propriedade de segurança Transmissão forjada no grupo de portas como Aceitar (Accept) para permitir que os quadros BPDU deixem o host e alcancem a porta do comutador físico.

Você pode isolar as configurações e o adaptador físico do tráfego da VPN colocando a máquina virtual em um grupo de portas separado e atribuindo o adaptador físico ao grupo.

Cuidado: Definir a propriedade de segurança Transmissão forjada como Aceitar (Accept) para permitir que um host envie quadros BPDU representa um risco de segurança, pois uma máquina virtual comprometida pode executar ataques de falsificação.

Interruptor físico

Mantenha o Port Fast ativado.
Ative o filtro BPDU na porta individual. Quando um quadro BPDU chega à porta, ele é filtrado.

Observação: Não ative o filtro BPDU globalmente. Se o filtro BPDU estiver ativado globalmente, o modo Port Fast será desativado e todas as portas do switch físico executarão o conjunto completo de funções STP.

Para implantar um dispositivo de ponte entre duas NICs de máquina virtual conectadas à mesma rede de Camada 2, permita que o tráfego de BPDU saia das máquinas virtuais e desative os recursos de prevenção de loop de BPDU e Port Fast.

Dispositivo de rede	Configuração
Switch distribuído ou padrão	Defina a propriedade Transmissão forjada da política de segurança nos grupos de portas como Aceitar (Accept) para permitir que os quadros BPDU deixem o host e alcancem a porta física do switch. Você pode isolar as configurações e um ou mais adaptadores físicos para o tráfego de ponte colocando a máquina virtual em um grupo de portas separado e atribuindo os adaptadores físicos ao grupo. Cuidado: Definir a propriedade de segurança Transmissão Forjada como Aceitar (Accept) para habilitar a implantação de ponte traz um risco de segurança, pois uma máquina virtual comprometida pode executar ataques de falsificação.
Interruptor físico	Desative o Port Fast nas portas para o dispositivo de ponte virtual para executar o STP nelas. Desative a proteção e o filtro BPDU nas portas voltadas para o dispositivo de ponte.

Dispositivo de rede

Configuração

Switch distribuído ou padrão

Defina a propriedade Transmissão forjada da política de segurança nos grupos de portas como Aceitar (Accept) para permitir que os quadros BPDU deixem o host e alcancem a porta física do switch.

Você pode isolar as configurações e um ou mais adaptadores físicos para o tráfego de ponte colocando a máquina virtual em um grupo de portas separado e atribuindo os adaptadores físicos ao grupo.

Cuidado: Definir a propriedade de segurança Transmissão Forjada como Aceitar (Accept) para habilitar a implantação de ponte traz um risco de segurança, pois uma máquina virtual comprometida pode executar ataques de falsificação.

Interruptor físico

Desative o Port Fast nas portas para o dispositivo de ponte virtual para executar o STP nelas.
Desative a proteção e o filtro BPDU nas portas voltadas para o dispositivo de ponte.

Proteja o ambiente contra ataques DoS em qualquer caso, ativando o filtro BPDU no host ESXi ou no comutador físico.

Em um host que não tem o filtro de BPDU de convidado implementado, ative o filtro de BPDU na porta do switch físico para o dispositivo de ponte virtual.

Dispositivo de rede	Configuração
Switch distribuído ou padrão	Defina a propriedade Transmissão forjada da política de segurança no grupo de portas como Rejeitar (Reject).
Interruptor físico	Mantenha a configuração Port Fast. Habilite o filtro BPDU na porta do switch físico individual. Quando um quadro BPDU chega à porta física, ele é filtrado. Observação: Não ative o filtro BPDU globalmente. Se o filtro BPDU estiver ativado globalmente, o modo Port Fast será desativado e todas as portas do switch físico executarão o conjunto completo de funções STP.