Die Administratoren haben mehrere Optionen zum Sichern von vSphere Distributed Switches in ihrer vSphere-Umgebung.
Für VLANs in einem vSphere Distributed Switch gelten dieselben Regeln wie in einem Standard-Switch. Weitere Informationen finden Sie unter Schutz von Standard-Switches und VLANs.
Prozedur
- Deaktivieren Sie für verteilte Portgruppen mit statischer Bindung die Funktion zum automatischen Erweitern.
Die Funktion zum automatischen Erweitern ist standardmäßig aktiviert.
Um die automatische Erweiterung zu deaktivieren, konfigurieren Sie die EigenschaftautoExpand
unter der verteilten Portgruppe mit dem vSphere Web Services SDK oder über eine Befehlszeilenschnittstelle. Siehe die Dokumentation zu vSphere Web Services SDK. - Stellen Sie sicher, dass alle privaten VLAN IDs aller vSphere Distributed Switches vollständig dokumentiert sind.
- Bei Verwendung von VLAN-Tagging in einer dvPortgroup müssen die VLAN-IDs mit denen der externen VLAN-fähigen Upstream-Switches übereinstimmen. Wenn die VLAN-IDs nicht ordnungsgemäß aufgezeichnet werden, kann die versehentliche Wiederverwendung von IDs zu unbeabsichtigtem Datenverkehr führen. Ebenso kann bei fehlenden oder falschen VLAN-IDs der Datenverkehr zwischen physischen und virtuellen Maschinen blockiert werden.
- Stellen Sie sicher, dass in einer virtuellen Portgruppe, die einem vSphere Distributed Switch zugeordnet ist, keine nicht verwendeten Ports vorhanden sind.
- Kennzeichnen Sie alle vSphere Distributed Switches.
Für mit einem ESXi-Host verknüpfte vSphere Distributed Switches ist ein Textfeld für den Namen des Switches erforderlich. Diese Bezeichnung dient als funktionaler Deskriptor für den Switch, genauso wie der mit einem physischen Switch verknüpfte Hostname. Die Bezeichnung am vSphere Distributed Switch zeigt die Funktion oder das IP-Subnetz des Switches an. Sie können zum Beispiel den Switch als intern bezeichnen, um anzugeben, dass er nur für interne Netzwerke auf dem privaten virtuellen Switch einer virtuellen Maschine dient. Über physikalische Netzwerkadapter erfolgt kein Datenverkehr.
- Deaktivieren Sie die Netzwerk-Systemstatusprüfung für Ihre vSphere Distributed Switches, wenn Sie sie nicht regelmäßig verwenden.
Die Netzwerk-Systemstatusprüfung ist standardmäßig deaktiviert. Nach der Aktivierung enthalten die Systemstatusprüfungspakete Informationen zum Host, Switch und Port, die ein Angreifer möglicherweise verwenden kann. Verwenden Sie die Netzwerk-Systemstatusprüfung nur zur Fehlerbehebung und deaktivieren Sie sie nach Abschluss der Fehlerbehebung.
- Schützen Sie virtuellen Datenverkehr vor Imitierungs- und Abfangangriffen auf Layer 2, indem Sie eine Sicherheitsrichtlinie für Portgruppen oder Ports konfigurieren.
Die Sicherheitsrichtlinie für verteilte Portgruppen und Ports umfasst die folgenden Optionen:
- MAC-Adressänderungen (siehe MAC-Adressänderungen)
- Promiscuous-Modus (siehe Betrieb im Promiscuous-Modus)
- Gefälschte Übertragungen (siehe Gefälschte Übertragungen)
Durch Auswahl von Verteilte Portgruppen verwalten im Kontextmenü des Distributed Switch und Klicken auf Sicherheit im Assistenten können Sie die aktuellen Einstellungen einsehen und ändern. Informationen finden Sie in der Dokumentation vSphere-Netzwerk.