El primer paso para proteger el entorno de las redes es seguir las recomendaciones generales sobre seguridad de red. A continuación, puede pasar a áreas especiales, como la protección de la red con firewalls o IPsec.

  • Asegúrese de que los puertos de conmutadores físicos estén configurados con Portfast si el árbol de expansión está habilitado. Debido a que los conmutadores virtuales de VMware no admiten STP, los puertos de conmutadores físicos conectados a un host ESXi deben tener Portfast configurado si el árbol de expansión está habilitado, a fin de evitar bucles en la red de conmutadores físicos. Si Portfast no está configurado, pueden producirse problemas de rendimiento y conectividad.

  • Asegúrese de que el tráfico de Netflow de un conmutador virtual distribuido se envíe solamente a direcciones IP de recopiladores autorizados. Las exportaciones de Netflow no están cifradas y pueden contener información sobre la red virtual, lo que aumenta el riesgo de recibir un ataque de intermediario efectivo. Si se necesita una exportación de Netflow, compruebe que todas las direcciones IP de destino de Netflow sean correctas.

  • Use los controles de acceso basado en funciones para asegurarse de que solo los administradores autorizados tengan acceso a los componentes de redes virtuales. Por ejemplo, los administradores de máquinas virtuales deben tener acceso solo a los grupos de puertos en los que residen sus máquinas virtuales. Los administradores de red deben tener permisos para todos los componentes de redes virtuales, pero no deben tener acceso a las máquinas virtuales. Si se limita el acceso, se reduce el riesgo de una configuración incorrecta, ya sea accidental o malintencionada, y se aplican los conceptos de seguridad clave de división de tareas y privilegios mínimos.

  • Asegúrese de que los grupos de puertos no estén configurados con el valor de la VLAN nativa. Los conmutadores físicos usan la VLAN 1 como su VLAN nativa. Las tramas de una VLAN no están etiquetadas con un 1. ESXi no tiene una VLAN nativa. Las tramas con VLAN especificadas en el grupo de puertos tienen una etiqueta, pero las tramas con VLAN no especificadas en el grupo de puertos no están etiquetadas. Esto puede provocar un problema porque las máquinas virtuales etiquetadas con un 1 terminan perteneciendo a una VLAN nativa del conmutador físico.

    Por ejemplo, las tramas de la VLAN 1 de un conmutador físico de Cisco no tienen etiquetas porque la VLAN 1 es la VLAN nativa de ese conmutador físico. Sin embargo, las tramas del host ESXi especificadas como VLAN 1 están etiquetadas con un 1; por lo tanto, el tráfico del host ESXi que está destinado a la VLAN nativa no está enrutado correctamente porque está etiquetado con un 1, cuando en realidad no debería tener etiquetas. El tráfico del conmutador físico que viene de la VLAN nativa no es visible porque no está etiquetado. Si el grupo de puertos del conmutador virtual de ESXi usa el identificador de la VLAN nativa, el tráfico proveniente de las máquinas virtuales de ese puerto no será visible para la VLAN nativa del conmutador, ya que este último espera tráfico sin etiquetas.

  • Asegúrese de que los grupos de puertos no estén configurados con los valores de la VLAN reservados para los conmutadores físicos ascendentes. Los conmutadores físicos reservan ciertos identificadores de VLAN para fines internos y generalmente no permiten el tráfico configurado con estos valores. Por ejemplo, los conmutadores Cisco Catalyst generalmente reservan las VLAN 1001-1024 y 4094. El uso de una VLAN reservada puede provocar la denegación de servicio en la red.

  • Asegúrese de que los grupos de puertos no estén configurados con la VLAN 4095, con excepción del etiquetado de invitado virtual (VGT). Al configurar un grupo de puertos con la VLAN 4095, se activa el modo de VGT. En este modo, el conmutador virtual pasa todas las tramas de red a la máquina virtual sin modificar las etiquetas de la VLAN, y deja que la máquina virtual se encargue de ellas.

  • Restrinja las anulaciones de la configuración de nivel de puerto de un conmutador virtual distribuido. Las anulaciones de la configuración de nivel de puerto están deshabilitadas de forma predeterminada. Una vez habilitadas, las anulaciones permiten el uso de opciones de configuración de seguridad para una máquina virtual diferentes a las del nivel de grupo de puertos. Algunas máquinas virtuales requieren una configuración única, pero la supervisión es fundamental. Si las anulaciones no se supervisan, cualquiera que tenga acceso a una máquina virtual con una configuración de conmutador virtual distribuido poco segura puede intentar aprovecharse de dicho acceso.

  • Asegúrese de que el tráfico reflejado del conmutador virtual distribuido se envíe solo a los puertos o las VLAN de recopiladores autorizados. vSphere Distributed Switch puede reflejar el tráfico de un puerto a otro para permitir que los dispositivos de captura de paquetes recopilen flujos de tráfico específicos. La funcionalidad de creación de reflejo de puertos envía una copia de todo el tráfico especificado en formato no cifrado. El tráfico reflejado contiene todos los datos en los paquetes capturados, por lo que tales datos pueden verse afectados por completo si se envían a una dirección incorrecta. Si se requiere la creación de reflejo del puerto, verifique que la VLAN de destino del puerto reflejado, el puerto y los identificadores de vínculo superior sean correctos.