Proteja el conmutador físico de cada host ESXi para evitar que los atacantes tengan acceso al host y sus máquinas virtuales.
Para optimizar la protección de los hosts, compruebe que los puertos de conmutadores físicos estén configurados con el árbol de expansión desactivado, y que la opción de no negociación esté configurada para los vínculos troncales entre conmutadores físicos externos y conmutadores virtuales en el modo de etiquetado de conmutador virtual (VST).
Procedimiento
- Inicie sesión en el conmutador físico y compruebe que el protocolo de árbol de expansión esté desactivado o que el puerto rápido esté configurado para todos los puertos de conmutadores físicos conectados a los hosts ESXi.
- Para las máquinas virtuales que hacen puente y enrutamiento, compruebe periódicamente que el primer puerto de conmutador físico ascendente esté configurado con las opciones de protección de BPDU y puerto rápido desactivadas, y con el protocolo de árbol de expansión activado.
Para evitar posibles ataques de denegación de servicio (DoS) en el conmutador físico, puede activar el filtro de BPDU invitado en los hosts
ESXi.
- Inicie sesión en el conmutador físico y asegúrese de que el protocolo Dynamic Trunking Protocol (DTP) no esté activado en los puertos de conmutadores físicos conectados a los hosts ESXi.
- De forma regular, revise los puertos de conmutadores físicos para asegurarse de que estén correctamente configurados como puertos troncales si están conectados a los puertos de enlace troncal de VLAN de conmutadores virtuales.