Die Administratoren haben mehrere Optionen zum Sichern von vSphere Distributed Switches in ihrer vSphere-Umgebung.

Prozedur

  1. Überprüfen Sie für verteilte Portgruppen mit statischer Bindung, ob die Funktion zum automatischen Erweitern deaktiviert ist.

    Die automatische Erweiterung ist in vSphere 5.1 und höher standardmäßig aktiviert.

    Um die automatische Erweiterung zu deaktivieren, konfigurieren Sie die Eigenschaft autoExpand unter der verteilten Portgruppe mit dem vSphere Web Services SDK oder über eine Befehlszeilenschnittstelle. Siehe die Dokumentation zu vSphere Web Services SDK.

  2. Stellen Sie sicher, dass alle privaten VLAN IDs aller vSphere Distributed Switches vollständig dokumentiert sind.
  3. Bei Verwendung von VLAN-Tagging in einer dvPortgroup müssen die VLAN-IDs mit denen der externen VLAN-fähigen Upstream-Switches übereinstimmen. Wenn die VLAN-IDs nicht vollständig nachverfolgbar sind, kann es zur Wiederverwendung von IDs kommen und damit zu Datenverkehr zwischen den falschen physischen und virtuellen Maschinen. Ebenso kann bei fehlenden oder falschen VLAN-IDs der Datenverkehr zwischen physischen und virtuellen Maschinen blockiert werden.
  4. Stellen Sie sicher, dass in einer virtuellen Portgruppe, die einem vSphere Distributed Switch zugeordnet ist, keine nicht verwendeten Ports vorhanden sind.
  5. Kennzeichnen Sie alle vSphere Distributed Switches.

    Für mit einem ESXi-Host verknüpfte vSphere Distributed Switches ist ein Feld für den Namen des Switches erforderlich. Diese Bezeichnung dient als funktionaler Deskriptor für den Switch, genauso wie der mit einem physischen Switch verknüpfte Hostname. Die Bezeichnung am vSphere Distributed Switch zeigt die Funktion oder das IP-Subnetz des Switches an. Sie können zum Beispiel den Switch als intern bezeichnen, um anzuzeigen, dass er nur für interne Netzwerke zwischen dem privaten virtuellen Switch einer virtuellen Maschine ist, an den keine physischen Netzwerkadapter gebunden sind.

  6. Deaktivieren Sie die Netzwerk-Systemstatusprüfung für Ihre vSphere Distributed Switches, wenn Sie sie nicht regelmäßig verwenden.

    Die Netzwerk-Systemstatusprüfung ist standardmäßig deaktiviert. Nach der Aktivierung enthalten die Systemstatusprüfungspakete Informationen zum Host, Switch und Port, die ein Angreifer möglicherweise verwenden kann. Verwenden Sie die Netzwerk-Systemstatusprüfung nur zur Fehlerbehebung und deaktivieren Sie sie nach Abschluss der Fehlerbehebung.

  7. Schützen Sie virtuellen Datenverkehr vor Imitierungs- und Abfangangriffen auf Layer 2, indem Sie eine Sicherheitsrichtlinie für Portgruppen oder Ports konfigurieren.

    Die Sicherheitsrichtlinie für verteilte Portgruppen und Ports umfasst die folgenden Optionen:

    Durch Auswahl von Verteilte Portgruppen verwalten im Kontextmenü des Distributed Switch und Klicken auf Sicherheit im Assistenten können Sie die aktuellen Einstellungen einsehen und ändern. Informationen finden Sie in der Dokumentation vSphere-Netzwerk.