El primer paso para proteger el entorno de las redes es seguir las recomendaciones generales sobre seguridad de red. A continuación, puede pasar a áreas especiales, como la protección de la red con firewalls o IPsec.
- El protocolo de árbol de expansión (Spanning Tree Protocol, STP) detecta cuándo se van a formar bucles en la topología de la red e impide que suceda. Los conmutadores virtuales de VMware evitan los bucles de otras maneras, pero no admiten el protocolo STP directamente. Cuando se producen cambios en la topología de la red, se necesita un tiempo (entre 30 y 50 segundos) para que la red reconozca la topología. Durante ese tiempo, no se permite que el tráfico pase. Para evitar estos problemas, los proveedores de red han creado funciones para habilitar que los puertos de conmutador sigan reenviando el tráfico. Para obtener más información, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/kb/1003804. Consulte la documentación del proveedor de red para conocer las configuraciones de red y de hardware de red adecuadas.
- Asegúrese de que el tráfico de Netflow de un conmutador virtual distribuido se envíe solamente a direcciones IP de recopiladores autorizados. Las exportaciones de Netflow no están cifradas y pueden contener información sobre la red virtual. Con esta información aumenta la posibilidad de que los atacantes puedan ver y capturar información confidencial. Si se necesita una exportación de Netflow, compruebe que todas las direcciones IP de destino de Netflow sean correctas.
- Use los controles de acceso basado en funciones para asegurarse de que solo los administradores autorizados tengan acceso a los componentes de redes virtuales. Por ejemplo, se debe otorgar a los administradores de máquinas virtuales acceso solo a los grupos de puertos en los que residen sus máquinas virtuales. Otorgue a los administradores de red acceso a todos los componentes de redes virtuales, pero no acceso a las máquinas virtuales. Si se limita el acceso, se reduce el riesgo de una configuración incorrecta, ya sea accidental o malintencionada, y se aplican los conceptos de seguridad clave de división de tareas y privilegios mínimos.
- Asegúrese de que los grupos de puertos no estén configurados con el valor de la VLAN nativa. A menudo, los conmutadores físicos se configuran con una VLAN nativa y esa VLAN nativa suele ser VLAN 1 de forma predeterminada. ESXi no tiene una VLAN nativa. Las tramas con VLAN especificadas en el grupo de puertos tienen una etiqueta, pero las tramas con VLAN no especificadas en el grupo de puertos no están etiquetadas. Esta situación puede generar un problema porque las máquinas virtuales que se etiquetan con un 1 terminan perteneciendo a una VLAN nativa del conmutador físico.
Por ejemplo, las tramas de la VLAN 1 de un conmutador físico de Cisco no tienen etiquetas porque la VLAN 1 es la VLAN nativa de ese conmutador físico. No obstante, los marcos del host ESXi que están especificados como VLAN 1 se etiquetan con un 1. Como resultado, el tráfico del host ESXi que está destinado a la VLAN nativa no se enruta correctamente porque está etiquetado con un 1 en lugar de no tener etiqueta. El tráfico del conmutador físico que viene de la VLAN nativa no es visible porque no está etiquetado. Si el grupo de puertos del conmutador virtual de ESXi usa el identificador de la VLAN nativa, el tráfico proveniente de las máquinas virtuales de ese puerto no será visible para la VLAN nativa del conmutador, ya que este último espera tráfico sin etiquetas.
- Asegúrese de que los grupos de puertos no estén configurados con los valores de la VLAN reservados para los conmutadores físicos ascendentes. Los conmutadores físicos reservan ciertos identificadores de VLAN para fines internos y generalmente no permiten el tráfico configurado con estos valores. Por ejemplo, los conmutadores Cisco Catalyst generalmente reservan las VLAN 1001-1024 y 4094. El uso de una VLAN reservada puede provocar la denegación de servicio en la red.
- Asegúrese de que los grupos de puertos no estén configurados con la VLAN 4095, con excepción del etiquetado de invitado virtual (VGT). Al configurar un grupo de puertos con la VLAN 4095, se activa el modo de VGT. En este modo, el conmutador virtual pasa todas las tramas de red a la máquina virtual sin modificar las etiquetas de la VLAN, y deja que la máquina virtual se encargue de ellas.
- Restrinja las anulaciones de la configuración de nivel de puerto de un conmutador virtual distribuido. Las anulaciones de la configuración de nivel de puerto están deshabilitadas de forma predeterminada. Cuando se habilitan las anulaciones, se puede usar una configuración de seguridad diferente para una máquina virtual y para el nivel de grupo de puertos. Algunas máquinas virtuales requieren una configuración única, pero la supervisión es fundamental. Si las anulaciones no se supervisan, cualquiera que tenga acceso a una máquina virtual con una configuración de conmutador virtual distribuido poco segura puede intentar aprovecharse de dicho acceso.
- Asegúrese de que el tráfico reflejado del conmutador virtual distribuido se envíe solo a los puertos o las VLAN de recopiladores autorizados. vSphere Distributed Switch puede reflejar el tráfico de un puerto a otro para permitir que los dispositivos de captura de paquetes recopilen flujos de tráfico específicos. La funcionalidad de creación de reflejo de puertos envía una copia de todo el tráfico especificado en formato no cifrado. El tráfico reflejado contiene todos los datos en los paquetes capturados, por lo que tales datos pueden verse afectados por completo si se envían a una dirección incorrecta. Si se requiere la creación de reflejo del puerto, verifique que la VLAN de destino del puerto reflejado, el puerto y los identificadores de vínculo superior sean correctos.