Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi - VMware
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Handbuch</strong> <strong>zur</strong> <strong>Serverkonfiguration</strong> <strong>für</strong> <strong>ESXi</strong><br />
Sicherheitsempfehlungen <strong>für</strong> VLANs<br />
Wie Sie die VLANs einrichten, um Teile eines Netzwerks abzusichern, hängt von Faktoren wie dem Gastbetriebssystem<br />
und der Konfiguration der Netzwerkgeräte ab.<br />
<strong>ESXi</strong> ist mit einer vollständigen VLAN-Implementierung nach IEEE 802.1q ausgestattet. Zwar kann <strong>VMware</strong><br />
keine spezifischen Empfehlungen aussprechen, wie die VLANs eingerichtet werden sollten, es sollten jedoch<br />
bestimmte Faktoren berücksichtigt werden, wenn ein VLAN ein Bestandteil Ihrer Sicherheitsrichtlinien ist.<br />
VLANs im Rahmen eines Sicherheitspakets<br />
Mit VLANs kann effektiv gesteuert werden, wo und in welchem Umfang Daten im Netzwerk übertragen<br />
werden. Wenn ein Angreifer Zugang zum Netzwerk erlangt, wird der Angriff mit hoher Wahrscheinlichkeit<br />
nur auf das VLAN beschränkt, das als Zugangspunkt diente, wodurch das Risiko <strong>für</strong> das gesamte Netzwerk<br />
verringert wird.<br />
VLANs bieten nur dadurch Schutz, dass sie steuern, wie Daten weitergeleitet und verarbeitet werden, nachdem<br />
sie die Switches passiert haben und sich im Netzwerk befinden. Sie können VLANs dazu nutzen, die 2.<br />
Schicht des Netzwerkmodells, die Sicherungsschicht, zu schützen. Die Einrichtung von VLANs schützt jedoch<br />
weder die Bitübertragungsschicht noch die anderen Schichten. Auch bei der Verwendung von VLANs sollten<br />
Sie zusätzlichen Schutz durch Absicherung der Hardware (Router, Hubs usw.) und Verschlüsselung der Datenübertragungen<br />
implementieren.<br />
VLANs ersetzen Softwarefirewalls in den Konfigurationen virtueller Maschinen nicht. In den meisten Netzwerkkonfigurationen<br />
mit VLANs gibt es auch Softwarefirewalls. Wenn Sie VLANs in Ihr virtuelles Netzwerk<br />
implementieren, stellen Sie sicher, dass die installierten Firewalls SAN-fähig sind.<br />
Ordnungsgemäßes Konfigurieren von VLANs<br />
Eine Fehlkonfiguration der Ausstattung und Netzwerkhardware, -firmware oder -software setzt ein VLAN<br />
möglichen VLAN-Hopping-Angriffen aus.<br />
VLAN-Hopping tritt dann auf, wenn ein Angreifer mit autorisiertem Zugriff auf ein VLAN Datenpakete erstellt,<br />
die die physischen Switches dazu bringen, die Pakete in ein anderes VLAN zu übertragen, <strong>für</strong> das der<br />
Angreifer keine Zugriffsberechtigung besitzt. Anfälligkeit <strong>für</strong> diese Art von Angriffen liegt meist dann vor,<br />
wenn ein Switch falsch <strong>für</strong> den nativen VLAN-Betrieb konfiguriert wurde, wodurch der Switch nicht gekennzeichnete<br />
Pakete empfangen und übertragen kann.<br />
Um ein VLAN-Hopping zu verhindern, aktualisieren Sie stets Ihre Umgebung, indem Sie Updates der Hardware<br />
und Firmware sofort aufspielen. Achten Sie bei der Konfiguration Ihrer Umgebung auch stets auf die<br />
Einhaltung der Empfehlungen des Herstellers.<br />
Virtuelle Switches von <strong>VMware</strong> unterstützen nicht das Konzept nativer VLANs. Alle Daten, die über diese<br />
Switches übertragen werden, müssen ordnungsgemäß gekennzeichnet werden. Da es jedoch im Netzwerk<br />
auch andere Switches geben kann, die <strong>für</strong> den nativen VLAN-Betrieb konfiguriert wurden, können VLANs<br />
mit virtuellen Switches dennoch anfällig <strong>für</strong> VLAN-Hopping sein.<br />
Wenn Sie VLANs <strong>zur</strong> Netzwerksicherung verwenden möchten, deaktivieren Sie die native VLAN-Funktion<br />
<strong>für</strong> alle Switches, sofern nicht ein zwingender Grund vorliegt, dass einige VLANs im nativen Modus betrieben<br />
werden müssen. Wenn Sie ein natives VLAN verwenden müssen, beachten Sie die Konfigurationsrichtlinien<br />
des Switch-Herstellers <strong>für</strong> diese Funktion.<br />
152 <strong>VMware</strong>, Inc.