Proteja el conmutador físico de cada host ESXi para evitar que los atacantes tengan acceso al host y sus máquinas virtuales.

Por qué y cuándo se efectúa esta tarea

Para optimizar la protección de los hosts, compruebe que los puertos de conmutadores físicos estén configurados con el árbol de expansión deshabilitado, y que la opción de no negociación esté configurada para los vínculos troncales entre conmutadores físicos externos y conmutadores virtuales en el modo de etiquetado de conmutador virtual (VST).

Procedimiento

  1. Inicie sesión en el conmutador físico y compruebe que el protocolo de árbol de expansión esté deshabilitado o que Port Fast esté configurado para todos los puertos de conmutadores físicos conectados a los hosts ESXi.
  2. Para las máquinas virtuales que hacen puente y enrutamiento, compruebe periódicamente que el primer puerto de conmutador físico ascendente esté configurado con las opciones BPDU Guard y Port Fast deshabilitadas, y con el protocolo de árbol de expansión habilitado.

    En vSphere 5.1 y versiones posteriores, para evitar ataques potenciales de denegación de servicio (DoS) en el conmutador físico, puede activar el filtro de BPDU invitado en los hosts ESXi.

  3. Inicie sesión en el conmutador físico y asegúrese de que el protocolo Dynamic Trunking Protocol (DTP) no esté habilitado en los puertos de conmutadores físicos conectados a los hosts ESXi.
  4. De forma regular, revise los puertos de conmutadores físicos para asegurarse de que estén correctamente configurados como puertos troncales si están conectados a los puertos de enlace troncal de VLAN de conmutadores virtuales.