Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi - VMware
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Handbuch</strong> <strong>zur</strong> <strong>Serverkonfiguration</strong> <strong>für</strong> <strong>ESXi</strong><br />
Spanning-Tree-Angriffe Diese Angriffe zielen auf das Spanning-Tree-Protokoll (STP), das <strong>zur</strong> Steuerung<br />
der Überbrückung verschiedener Teile des LANs verwendet wird. Der<br />
Angreifer sendet Pakete der Bridge Protocol Data Unit (BPDU) in dem Versuch,<br />
die Netzwerktopologie zu ändern und sich selbst als Root-Bridge einzusetzen.<br />
Als Root-Bridge kann der Angreifer dann die Inhalte übertragener Datenblöcke<br />
mitschneiden.<br />
Die virtuellen Switches von <strong>VMware</strong> unterstützen STP nicht und sind daher<br />
gegen diese Art von Angriffen immun.<br />
Zufallsdatenblock-Angriffe<br />
Bei diesen Angriffen wird eine große Anzahl Pakete gesendet, bei denen die<br />
Quell- und Zieladressen gleich sind, diese jedoch Felder unterschiedlicher<br />
Länge, Art und mit verschiedenem Inhalt enthalten. Ziel des Angriffes ist es<br />
zu erzwingen, dass Pakete versehentlich in ein anderes VLAN fehlgeleitet<br />
werden.<br />
Die virtuellen Switches von <strong>VMware</strong> sind gegen diese Art von Angriffen immun.<br />
Da mit der Zeit immer neue Sicherheitsgefahren auftreten, kann diese Liste möglicher Angriffe nicht vollständig<br />
sein. Rufen Sie regelmäßig die <strong>VMware</strong>-Sicherheitsressourcen im Internet ab, um mehr über Sicherheit,<br />
neue Sicherheitswarnungen und die Sicherheitstaktiken von <strong>VMware</strong> zu erfahren.<br />
Absichern der Ports virtueller Switches<br />
Wie bei physischen Netzwerkadaptern kann ein virtueller Netzwerkadapter Datenblöcke versenden, die von<br />
einer anderen virtuellen Maschine zu stammen scheinen oder eine andere virtuelle Maschine imitieren, damit<br />
er Datenblöcke aus dem Netzwerk empfangen kann, die <strong>für</strong> die jeweilige virtuelle Maschine bestimmt sind.<br />
Außerdem kann ein virtueller Netzwerkadapter, genauso wie ein physischer Netzwerkadapter, so konfiguriert<br />
werden, dass er Datenblöcke empfängt, die <strong>für</strong> andere virtuelle Maschinen bestimmt sind.<br />
Wenn Sie einen virtuellen Switch <strong>für</strong> Ihr Netzwerk erstellen, fügen Sie Portgruppen hinzu, um <strong>für</strong> die an den<br />
Switch angeschlossenen virtuellen Maschinen und Speichersysteme Richtlinien zu konfigurieren. Virtuelle<br />
Ports werden über den vSphere-Client erstellt.<br />
Während des Hinzufügens eines Ports oder einer Portgruppe zu einem virtuellen Switch konfiguriert der<br />
vSphere-Client ein Sicherheitsprofil <strong>für</strong> den Port. Mit diesem Sicherheitsprofil können Sie sicherstellen, dass<br />
<strong>ESXi</strong> verhindert, dass die Gastbetriebssysteme auf den virtuellen Maschinen andere Computer im Netzwerk<br />
imitieren können. Diese Sicherheitsfunktion wurde so implementiert, dass das Gastbetriebssystem, welches<br />
<strong>für</strong> die Imitation verantwortlich ist, nicht erkennt, dass diese verhindert wurde.<br />
Das Sicherheitsprofil bestimmt, wie streng der Schutz gegen Imitierungs- oder Abfangangriffe auf virtuelle<br />
Maschinen sein soll. Damit Sie die Einstellungen des Sicherheitsprofils richtig anwenden können, benötigen<br />
Sie Grundkenntnisse darüber, wie virtuelle Netzwerkadapter Datenübertragungen steuern und wie Angriffe<br />
auf dieser Ebene vorgenommen werden.<br />
Jedem virtuellen Netzwerkadapter wird bei seiner Erstellung eine eindeutige MAC-Adresse zugewiesen. Diese<br />
Adresse wird „Ursprünglich zugewiesene MAC-Adresse“ genannt. Obwohl die ursprüngliche MAC-Adresse<br />
von außerhalb des Gastbetriebssystems neu konfiguriert werden kann, kann sie nicht vom Gastbetriebssystem<br />
selbst geändert werden. Außerdem verfügt jeder Adapter über eine geltende MAC-Adresse, die eingehenden<br />
Netzwerkverkehr mit einer MAC-Adresse, die nicht der geltenden MAC-Adresse entspricht, herausfiltert.<br />
Das Gastbetriebssystem ist <strong>für</strong> die Einstellung der geltenden MAC-Adresse verantwortlich. In der<br />
Regel stimmen die geltende MAC-Adresse und die ursprünglich zugewiesene MAC-Adresse überein.<br />
Beim Versand von Datenpaketen schreibt das Betriebssystem die geltende MAC-Adresse des eigenen Netzwerkadapters<br />
in das Feld mit der Quell-MAC-Adresse des Ethernet-Frames. Es schreibt auch die MAC-Adresse<br />
des Empfänger-Netzwerkadapters in das Feld mit der Ziel-MAC-Adresse. Der empfangende Adapter<br />
akzeptiert Datenpakete nur dann, wenn die Ziel-MAC-Adresse im Paket mit seiner eigenen geltenden MAC-<br />
Adresse übereinstimmt.<br />
154 <strong>VMware</strong>, Inc.