ESXi en DMZ, risque ?

[dsebire]

Hey , j'avais pas vu ce topic

Nous avons menés une étude pour une banque française (dont je ne peux pas citer le nom bien sur) y'a quelques semaines.

En conclusion, l'isolation des processus ainsi que les certifications obtenus par VMWare dans le cadre du cloisonnement, permettent de partager un hôte ESX 4.x (pas 3) inter-DMZ mais également DMZ/Lan-neutre/Lan-prod , à la seule condition que l'interface vmkernel soit séparées physiquement (adaptateur physique), de ou des interfaces servant à accéder aux VMs.

(et que l'adaptateur physique qui héberge le vmkernel ou la vmconsole soit protégés par le firewall ESX ou mieux , bien sur)

hello,

interessant ça !

dans mon cas yaura qu'une seule interface physique puisque pas de vrai LAN derriere.
donc interface physique -> hyperviseur et VM router/firewall/VPN
et un switch virtuel avec les interfaces des VMs router et le windows

donc bon, d'après toi pas secure mais de toute façon, pas le choix puisque c'est ça que je dois mettre en place

par contre, firewall ESX, quesako ????
c'est un module qu'on peut ajouter sur l'hyperviseur ?
rappel, dans mon cas, l'interface de la machine est conectée directement au net et je peux pas faire autrement.

Merci

[tugs]

hello,

interessant ça !

dans mon cas yaura qu'une seule interface physique puisque pas de vrai LAN derriere.
donc interface physique -> hyperviseur et VM router/firewall/VPN
et un switch virtuel avec les interfaces des VMs router et le windows

donc bon, d'après toi pas secure mais de toute façon, pas le choix puisque c'est ça que je dois mettre en place

par contre, firewall ESX, quesako ????
c'est un module qu'on peut ajouter sur l'hyperviseur ?
rappel, dans mon cas, l'interface de la machine est conectée directement au net et je peux pas faire autrement.

Merci

Ce qui est sensible, c'est l'accès à la console . Que ce soit avec le SSH activé ou directement en protocole vSphere Client (qui n'est autre que du HTTPs ^^)

Firewall ESX, c'est le firewall ESX (logique non ?) . Par contre, disponible uniquement en ESX et non en ESXi . Se configure via esxcfg-firewall .

Ensuite, quand on est pauvre en interface, il reste une option. risquée.

Créer une VM de type Firewall (pfsense, iptable simple, peu importe) .
Mapper l'ip publique sur cette VM .
Créer un VMKernel port sur un réseau "trusted", en gros un réseau privé (ne pas rattacher d'interface physique au vswitch) .
Créer un autre vswitch pour les autres VMs .
Rajouter 2 interfaces à la VM Firewall , une vers le réseau trusted (VMKernel), une vers le réseau privé des VMs .
Ne pas oublier de NATer le port de la console vsphere vers le VMKernel du réseau "trusted" .
Supprimer l'ancien VMKernel , NATer tout ce qu'on veut vers le réseau privé (vers les VMs) .
Se garder un petit OpenVPN vers le FW (pfsense embarque tout au poil direct) pour accéder à tout le réseau, même sans NAT depuis l'ip publique.

Le risque, si la VM Firewall explose, tu n'as plus accès à l'ESX . mais bon, si tu as un accés en KVM Ip, tu peux toujours relancer la VM en console

[dsebire]

Ce qui est sensible, c'est l'accès à la console . Que ce soit avec le SSH activé ou directement en protocole vSphere Client (qui n'est autre que du HTTPs ^^)

Merci !

sensible a quel point ?
c'est facile a cracker ?
pour les ports, oui, c'est 443 et je sais plus quel autre qu'il faut natter

un mot de passe fort suffit-il a calmer les ardeurs de ceux qui essaient de rentrer ?

a la maison j'ai des petits malins qui tentent de se connecter aussi bien au rdp qu'au 443 sans y parvenir, je peux pas securiser plus, j'au un mot de passe qui tiens la route, c'est tout.

[tugs]

Il peut y avoir des failles . faut mettre à jour avec les hotfix chaque fois qu'il y a un patch