Los administradores tienen varias opciones para proteger instancias de vSphere Distributed Switch en el entorno de vSphere.
Las mismas reglas se aplican a las VLAN tanto en una instancia de vSphere Distributed Switch como en un conmutador estándar. Para obtener más información, consulte Protección de conmutador estándar y VLAN.
Procedimiento
- Para los grupos de puertos distribuidos con enlace estático, deshabilite la característica de expansión automática.
Expansión automática está habilitada de forma predeterminada en vSphere 5.1 y versiones posteriores.
Para habilitar Expansión automática, configure la propiedadautoExpanden el grupo de puertos distribuidos con vSphere Web Services SDK o con una interfaz de línea de comandos. Consulte la documentación de vSphere Web Services SDK. - Asegúrese de que todos los identificadores de VLAN privadas de vSphere Distributed Switch estén documentados detalladamente.
- Si utiliza el etiquetado de VLAN en un dvPortgroup, los identificador de VLAN deben coincidir con los identificadores de los conmutadores ascendentes externos con reconocimiento de VLAN. Si los identificadores de VLAN no están registrados correctamente, la reutilización incorrecta de identificadores puede permitir tráfico no deseado. De forma similar, la presencia de identificadores de VLAN incorrectos o faltantes puede hacer que el tráfico no pase entre las máquinas físicas y virtuales.
- Asegúrese de que no haya puertos sin utilizar en un grupo de puertos virtuales asociado con vSphere Distributed Switch.
- Etiquete todos los conmutadores distribuidos de vSphere.
Los conmutadores distribuidos de vSphere asociados con un host ESXi requieren un cuadro de texto para sus nombres. Esta etiqueta sirve como descriptor funcional del conmutador, al igual que el nombre de host asociado con un conmutador físico. La etiqueta de vSphere Distributed Switch indica la función o la subred IP del conmutador Por ejemplo, puede etiquetar el conmutador como interno para indicar que solo sirve para las redes internas del conmutador virtual privado de una máquina virtual. El tráfico no pasa a través de los adaptadores de red física.
- Deshabilite la comprobación de estado de la red en los conmutadores distribuidos de vSphere si no la utiliza de forma activa.
La comprobación de estado de la red está deshabilitada de forma predeterminada. Una vez habilitados, los paquetes de comprobación de estado contienen información sobre el host, el conmutador y el puerto que un atacante podría utilizar. Utilice la comprobación de estado de la red solo para tareas de solución de problemas y desactívela al finalizar.
- Puede proteger el tráfico virtual contra ataques de suplantación e intercepción de la Capa 2 si configura una directiva de seguridad en los puertos o grupos de puertos.
La directiva de seguridad en los puertos y grupos de puertos distribuidos incluye las siguientes opciones:
- Cambios en la dirección MAC (consulte Cambios de dirección MAC).
- Modo promiscuo (consulte Operación en modo promiscuo).
- Transmisiones falsificadas (consulte Transmisiones falsificadas).
Para ver y cambiar la configuración actual, seleccione Administrar grupos de puertos distribuidos en el menú contextual y, a continuación, seleccione Seguridad en el asistente. Consulte la documentación de Redes de vSphere.
