Das Befolgen allgemeiner Netzwerksicherheitsempfehlungen ist der erste Schritt zum Absichern Ihrer Netzwerkumgebung. Anschließend können Sie sich spezielle Bereiche vornehmen, wie Absichern des Netzwerks mit Firewalls oder Verwendung von IPsec.

  • Wenn Spanning Tree aktiviert ist, stellen Sie sicher, dass physische Switch-Ports mit Portfast konfiguriert sind. Da virtuelle Switches von VMware STP nicht unterstützen, muss Portfast für Ports physischer Switches, die mit einem ESXi-Host verbunden sind, konfiguriert sein, um Schleifen im Netzwerk des physischen Switches zu vermeiden. Wenn Portfast nicht konfiguriert wird, können Leistungs- und Verbindungsprobleme auftreten.

  • Stellen Sie sicher, dass Netflow-Daten für einen verteilten virtuellen Switch nur an autorisierte Collector-IP-Adressen gesendet werden. Netflow-Exporte werden nicht verschlüsselt und können Informationen über das virtuelle Netzwerk enthalten. Durch diese Informationen kann sich das Risiko für einen erfolgreichen Man-in-the-Middle-Angriffe erhöhen. Wenn ein Netflow-Export erforderlich ist, prüfen Sie, ob alle Netflow-Ziel-IP-Adressen korrekt sind.

  • Stellen Sie mithilfe der rollenbasierten Zugriffssteuerung sicher, dass nur autorisierte Administratoren Zugriff auf virtuelle Netzwerkkomponenten haben. Geben Sie beispielsweise Administratoren virtueller Maschinen nur Zugriff auf Portgruppen, in denen sich ihre virtuellen Maschinen befinden. Geben Sie Netzwerkadministratoren Berechtigungen für alle virtuellen Netzwerkkomponenten, aber keinen Zugriff auf virtuelle Maschinen. Durch Beschränkung des Zugriffs verringert sich das Risiko einer Fehlkonfiguration, sei es zufällig oder absichtlich, und wichtige Sicherheitskonzepte der Trennung der Verantwortlichkeiten und der geringsten Berechtigung werden in Kraft gesetzt.

  • Stellen Sie sicher, dass für Portgruppen nicht der Wert des nativen VLAN konfiguriert ist. Physische Switches verwenden VLAN 1 als natives VLAN. Frames in einem nativen VLAN werden nicht mit „1“ gekennzeichnet. ESXi weist kein natives VLAN auf. Frames, für die das VLAN in der Portgruppe angegeben ist, weisen ein Tag auf, aber Frames, für die kein VLAN in der Portgruppe angegeben ist, werden nicht gekennzeichnet. Dies kann zu Problemen führen, da mit „1“ gekennzeichnete virtuelle Maschinen am Ende zum nativen VLAN des physischen Switches gehören.

    Beispielsweise werden Frames in VLAN 1 von einem physischen Cisco-Switch nicht gekennzeichnet, da VLAN1 das native VLAN auf diesem physischen Switch ist. Frames vom ESXi-Host, die als VLAN 1 festgelegt sind, werden jedoch mit einer „1“ gekennzeichnet. Das führt dazu, dass für das native VLAN bestimmter Datenverkehr vom ESXi-Host nicht korrekt weitergeleitet wird, da er mit einer „1“ gekennzeichnet ist, statt keine Kennzeichnung aufzuweisen. Datenverkehr vom physischen Switch, der vom nativen VLAN stammt, ist nicht sichtbar, da er nicht gekennzeichnet ist. Wenn die ESXi-Portgruppe für den virtuellen Switch die native VLAN-ID verwendet, ist Datenverkehr von virtuellen Maschinen auf diesem Port nicht für das native VLAN auf dem Switch sichtbar, da der Switch nicht gekennzeichneten Datenverkehr erwartet.

  • Stellen Sie sicher, dass für Portgruppen keine VLAN-Werte konfiguriert sind, die für physische Upstream-Switches reserviert sind. Physische Switches reservieren bestimmte VLAN-IDs zu internen Zwecken und erlauben mit diesen Werten konfigurierten Datenverkehr in vielen Fällen nicht. Beispielsweise reservieren Cisco Catalyst-Switches in der Regel die VLANs 1001 bis 1024 und 4094. Die Verwendung eines reservierten VLAN kann einen Denial-of-Service-Fehler im Netzwerk verursachen.

  • Stellen Sie sicher, dass für Portgruppen nicht VLAN 4095 konfiguriert ist, außer für Virtual Guest Tagging (VGT). Durch Festlegen von VLAN 4095 für eine Portgruppe wird der VGT-Modus aktiviert. In diesem Modus übermittelt der virtuelle Switch alle Netzwerk-Frames an die virtuelle Maschine, ohne die VLAN-Tags zu ändern, und überlässt deren Verarbeitung der virtuellen Maschine.

  • Beschränken Sie Außerkraftsetzungen für die Konfiguration auf Portebene auf einem verteilten virtuellen Switch. Außerkraftsetzungen für die Konfiguration auf Portebene sind standardmäßig deaktiviert. Bei aktivierten Außerkraftsetzungen können Sie andere Sicherheitseinstellungen für eine virtuelle Maschine verwenden als die Einstellungen auf Portgruppenebene. Für bestimmte virtuelle Maschinen sind andere Konfigurationen erforderlich. Dies muss jedoch unbedingt überwacht werden. Wenn Außerkraftsetzungen nicht überwacht werden, kann jeder, der sich Zugriff auf eine virtuelle Maschine mit einer weniger sicheren Konfiguration für den virtuellen Switch verschafft, diese Sicherheitslücke auszunutzen versuchen.

  • Stellen Sie sicher, dass gespiegelter Verkehr auf einem Port des verteilten virtuellen Switches nur an autorisierte Collector-Ports oder VLANs gesendet wird. Ein vSphere Distributed Switch kann Datenverkehr zwischen Ports spiegeln, damit Paketerfassungsgeräte bestimmte Verkehrsflussdaten erfassen können. Bei der Portspiegelung wird eine Kopie des gesamten angegebenen Datenverkehrs in unverschlüsseltem Format gesendet. Dieser gespiegelte Datenverkehr enthält die kompletten Daten in den erfassten Paketen und kann, wenn er an das falsche Ziel weitergeleitet wird, ein Datenleck verursachen. Wenn die Portspiegelung erforderlich ist, sollten Sie sicherstellen, dass alle Ziel-VLAN-, Port- und Uplink-IDs der Portspiegelung stimmen.