Introducción a las redes y la seguridad de vSphere

Page 1

Universidad Tecnológica de León Ingeniería en Redes Inteligentes y Ciberseguridad

Asignatura: Administración Avanzada de Infraestructura Virtualizada

Profesor de Asignatura: Juan Carlos Almonaci Puga

Título del trabajo: Reporte: Módulo 2. Introducción a las redes y la seguridad de vSphere

Presenta: Fátima Abigail Porras Noriega

Matrícula: 18002125

Grupo: IRIC701

León, Guanajuato. Sábado, 17 de octubre de 2020

INTRODUCCIÓN Como se menciona en el curso, la capacidad de conectar máquinas virtuales a través de un switch lógico que forma parte del hipervisor de vSphere es necesaria para que los sistemas operativos y las aplicaciones se comuniquen en la red física. Es por ello, que en el presente reporte se describen algunas de las características que ayudarán a fortalecer y dar una infraestructura más organizada al hipervisor y a sus máquinas virtuales, debido a que un switch lógico tiene la capacidad de crearse y administrarse de forma centralizada a través de vCenter, así como las funciones avanzadas de red con las que cuenta. En el desarrollo del proyecto, se comienza hablando un poco acerca de la parte teórica de los switches virtuales, además, de la administración de roles de los usuarios o incluso la creación de estos, la modificación de los distintos privilegios que pueden tener o incluso la creación de un grupo. Finalmente, se detalla la incorporación de los hosts a un dominio de Active Directory como una propiedad del Single Sing On que ayuda a aprovechar las credenciales utilizadas en un sistema Windows, facilitando así el inicio de sesión de un cliente vSphere. ___________________________________________________________________

TIPOS DE SWITCHES VIRTUALES Los hosts virtualizados pueden comunicarse a la red física mediante la incorporación de un switch lógico que ofrece casi las mismas ventajas que unos físico ya que brinda posibilidades como la creación de una VLAN, el reenvío y seguridad en los puertos, etc. Hay dos tipos de switches virtuales en ESXi/ESX4.x, ESXi 5.x y ESXi 6.x, los cuales se tienen que conectar a un equipo virtual a un puerto, teniendo así comunicación a la red física: S W I T C H E S T Á N D A R D E V N E T W O R K ( V S W I T C H E S , V S S ) . Estos switches se configuran en cada host ESXi/ESX, es decir, un switch por host individual, por lo que los administradores deben mantener manualmente la coherencia de la configuración del vSwitch en todos los hosts para que se puedan realizar operaciones. La arquitectura de un vSS es muy sencilla:

Con base en la imagen se puede interpretar lo siguiente: Cada tarjeta virtual se conecta a un puerto virtual de un port group, después, el tráfico que tenga que salir a la red física, saldrá por uno de los puertos ascendentes también conocidos como uplinks. Al crear un vSwitch de cualquier tipo, deben crearse también grupos de puertos para que permita conectar la máquina virtual al mismo switch virtual, asignando así un numero de puertos virtuales buscando segmentar la cantidad de equipos conectados y facilitar su gestión. Además, debe tomarse en cuenta también la creación de uplinks ya que corresponden a la categoría de tarjetas de red físicas que encargaran de sacar a la red física de tráfico proveniente del switch virtual. S W I T C H D I S T R I B U I D O D E V N E T W O R K ( D V S W I T C H , V D S ) . Los switches distribuidos brindan una funcionalidad similar a los vSwitches a diferencia de lo siguiente. La administración de un switch de este tipo se centra en vCenter Server, es decir, la configuración aplica no sólo para un host especifico sino para todos, y no es necesario hacer ajustes extra de manera individual para que sean compatibles. Por otro lado, las máquinas virtuales, interfaces de consola de servidor y las interfaces de VMKernel se pueden conectar a grupos de puertos del mismo modo que se pueden conectar a grupos de puertos en switches. Su arquitectura es la siguiente:

Con base en la imagen, se puede observar que el control se efectúa por medio de vCenter Sever, en donde se crea un switch virtual tipo vDS, sin embargo, la arquitectura es muy similar al otro tipo a pesar de algunas diferencias que existen en cuanto a su funcionamiento. Por ejemplo: Los hosts físicos comparten Portgroups ya que por parte de la red física, estos tienen comunicación entre sí. COMPARACIÓN ENTRE VSS Y VDS VSS

VDS Pueden reenviar las tramas L2.

Pueden segmentar el tráfico en VLAN. Pueden usar y comprender el encapsulamiento 802.1q VLAN. Pueden tener más de un enlace ascendente (NIC Teaming). Pueden tener regulación de trafico para el tráfico saliente (TX). -

Puede dar forma al tráfico entrante (RX).

-

Tiene una interfaz central de administración unificada a través de vCenter Server.

-

Es compatible con VLAN privadas.

-

Proporciona personalización potencial de datos y planos de control.

Como se puede observar en la tabla, VSS tiene muchas menos características que VDS, pero a pesar de eso, comparten algunas. Además, VDS tiene muchas más ventajas que dependen de la versión de vSphere que se esté utilizando. ___________________________________________________________________

INCORPORACIÓN Y CONFIGURACIÓN DE VSS La creación y gestión de un vSS es muy sencillo. Dentro del módulo, lo primero que se hizo fue, a través del cliente vSphere, crear un nuevo vSS. Se comenzó iniciando sesión y seleccionando un host dentro de la sección de ”Hosts and clusters” de la interfaz:

Se inicio el asistente y el siguiente paso fue elegir el tipo de conexión que se deseara. En este caso, se seleccionó “Virtual Machine Port Group for a Standard Switch”, ya que, como se mencionó al inicio, funciona por hosts individual por lo que cada vSwitch debe tener por lo menos un portgroup creado:

El siguiente paso fue elegir el switch destino para el grupo de puertos. Como en este caso se requería crear un nuevo vSS, se eligió “New standard switch” y con las especificaciones por defecto:

El siguiente paso fue seleccionar los adaptadores físicos para agregarlos como uplinks, lo cual pudo observarse en las características de cada NIC individual:

Al final, solamente se mostro un resumen de las acciones que se seleccionaron. Por otra parte, dentro de la pestaña de configuración se encontró la opción de “Virtual switches” en el apartado “Network”, donde se pueden observar todos los switches creados, incluido ahí, el vSS que se acaba de crear, en donde se presenta el diagrama que representa los grupos de puertos y su enlace físico:

Finalmente, se podrá observar que en las opciones específicas del switch se encuentran las secciones de “Edit” y “Manage Physical Adapters”. En la sección de edición se encuentran parámetros en los que se pueden definir propiedades como la MTU, parámetros de seguridad, redundancia, entre otros ajustes. Para la sección de administración de adaptadores físicos, se pudo agregar, modificar y eliminar la selección de NIC para el vSS.

INCORPORACIÓN DE ADAPTADORES DE ENLACE Se puede asociar múltiples adaptadores a una única instancia de vSS para aumentar la tasa de transferencia y proporcionar redundancia en el caso de una falla de enlace, esto se conoce como “NIC Teaming”. El primer paso que debe seguirse es la selección de los switches virtuales desde la pestaña del dispositivo deseado e ingresando a la pestaña “Add Networking” donde se abrirá un asistente de configuración:

Después se debe elegir el adaptador:

EDICIÓN DEL VSS La configuración de un vSS controla las opciones predeterminadas de todo el switch y las propiedades del switch, como por ejemplo, la configuración de enlace ascendente. En la siguiente parte del reporte, se podrá observar la edición del vSS que es bastante intuitiva, por ejemplo, la edición del grupo de puertos del vSS, ya que, como se

mencionó anteriormente el grupo de puertos es una estructura que está conectada a las NIC de las máquinas virtuales y suele representar una partición de VLAN o red física.

Para conocer las propiedades un grupo de puertos existente se dirigió a la configuración del grupo de puertos ubicada en el diagrama del vSS:

Si se utilizan tramas jumbo en el entorno y se desea aprovecharlo en vSS, se puede modificar la configuración de la unidad máxima de transmisión (Maximum Transmission Unit, MTU) en esta sección de “Properties”, se puede modificar para aumentar la cantidad de datos de carga útil que se transmiten con un solo paquete, es decir, puede habilitar tramas jumbo. Pero para hacer esto, se debe consultar primero al equipo de redes para poder hacer configuraciones de MTU compatibles en todos los switches virtuales y físicos y dispositivos finales:

El apartado de “security”, los parámetros que se pueden configurar es aceptar o rechazar el modo promiscuo en los puertos, el cambio de direcciones MAC a los adaptadores, y el envío de tramas con dirección MAC distinta al host de origen. Es importante mencionar que algunas de las configuraciones que encontraremos, son la sección “Security”, en donde se puede configurar: Promiscuous Mode, MAC Address Changes, Forged Transmits, dentro de los cuales, en cada uno se tiene la opción tanto de Accept como de Reject.

“Traffic Shaping” contiene la configuración de parámetros que definirán el ancho de banda y pico de ancho de banda promedio, así mismo, el tamaño máximo de las ráfagas transmitidas. En esta sección se tienen las opciones de Average Bandwidth, que establece la cantidad de bits por segundo que se permiten en un puerto, estimada con el paso del tiempo, este numero es la carga promedio permitida. Otra opción es la de Peak Bandwidth, que es la cantidad máxima de bits por segundo que se permiten en un puerto cuando esta enviando o recibiendo una rafa de tráfico, esta cantidad limita el ancho de banda que utiliza un puerto cuando esta utilizado su bonus de ráfagas. Y finalmente la opción Burt Size, que es la cantidad máxima de bytes que se permiten en una ráfaga, si se establece este parámetro, un puerto puede obtener bonus de ráfagas si no utiliza todo el ancho de banda asignado.

Por último, la opción de “Teaming and failover”, permite modificar los métodos en que se hace un balance de carga en las NIC, la detección de fallos, notificación de

switches y recuperación. En esta opción se tienen las configuraciones de Route based on the originating virtual, Route based on IP hash, Route based on source MAC hash, Route based on physical NIC load y por último, Use explicit failover order.

ELIMINACIÓN DE UN VSS En la barra de configuración del vSS donde aparece el diagrama de conexión, estará un menú desplegable con un ícono de tres puntos, desde ahí será posible encontrar la opción que permita borrar el vSS.

En caso de que se requiera, todos los cambios pueden ser cancelados antes de guardarse. __________________________________________________________________

INCORPORACIÓN Y CONFIGURACIÓN DE VDS El primer paso para crear un vDS fue dirigirse a la sección de “Networking” en el cliente de vSphere:

En la misma sección se podrá consultar la red de host que conforman el servidor y las máquinas virtuales existentes por todo el clúster. La primera tarea fue revisar la configuración actual del vDS ya creado. Para llegar a ello se seleccionó el vDS que aparece en la lista y después en las propiedades que aparecen en la pestaña de configuración:

También se pueda editar toda la configuración actual. Algunos de los cambios que se pueden realizar son el nombre del vDS, cantidad y nombre de uplinks, MTU, protocolo de descubrimiento y contacto del administrador:

HEALTH CHECK Esta es una opción de comprobación del estado de las configuraciones del vDS, si se habilitan, siempre se realizarán comprobaciones en la configuración de VLAN y MTU y Teaming and Failover:

GRUPOS DE PUERTOS DISTRIBUIDOS El grupo de puertos distribuidos especifica las opciones de configuración de puertos para cada puerto de una instancia de vDS. Para crear un grupo de puertos distribuidos, se dio clic derecho al vDS y después a “New Distribuited Port Group”

Después se inició un asistente en el que se definió el nombre del grupo de puertos, la cantidad y asignación de puertos, asociación de puertos y el tipo de VLAN (en caso de que se desee):

Al momento de revisar a topología del switch, se puede apreciar que el nuevo grupo de puertos está presente:

En la misma topología se puede notar la cantidad de máquinas virtuales asociada a cada grupo de puertos y si se da clic sobre una, se muestra la ruta ascendente que toma para llegar a la red física.

CREACIÓN DE UN VDS

Dentro de las acciones del grupo de hosts o “Site A Datacenter” en la sección de “Networking”, es posible crear un nuevo vDS:

Durante la ejecución del asistente, se eligen opciones como el nombre del switch, versión, número de uplinks, nombre del grupo de puertos, entre otras:

EDICIÓN DE UN VDS Para editar un vDS deben explorarse las propiedades del switch:

Para la configuración general se podrán modificar las opciones de Name, el nombre del switch distribuido. Number of Uplinks, aumente o disminuya la cantidad de puertos de enlace conectados al switch distribuido. Number of ports, esta opción no se puede modificar, la cantidad aumenta o disminuye dinámicamente de manera personalizada. Network I/O Control, puede utilizar el menú desplegable para habilitar o inhabilitar y finalmente Description, que se puede utilizar para describir significativamente el switch.

AÑADIR HOSTS Se pueden añadir hosts de desde las acciones del vDS que aparecen al darle clic derecho. La opción para seleccionar es “Add and Manage Hosts”, donde la tarea a seleccionar en el primer paso es “Add Hosts”. Se seleccionarán los hosts disponibles en el clúster controlado por vCenter:

Al seleccionarlos, se asignarán los adaptadores físicos o uplinks. Otras opciones menos relevantes, pero igual de importantes, es la migración de máquinas virtuales o la administración de adaptadores de VMKernel.

MIGRACIÓN DE VM Otra característica importante de vSphere es la de poder migrar máquinas virtuales a otras redes, o en este caso, a otros vDS. Para hacerlo posible, se dio clic derecho en el “Site A Datacenter” para ver sus acciones disponibles, y después se seleccionó “Migrate VMs to Another Network”:

El asistente pedirá especificar la red de origen y la red de destino, las cuales corresponden a los grupos de puertos de los vDS en los que se desea realizar la migración. El siguiente paso fue elegir la o las máquinas virtuales a migrar. Al terminar el asistente, tomará unos cuantos segundos completar el proceso de migración de una red a otra:

MODO DE BLOQUEO DEL HOST Este es un aumento de seguridad en el acceso a los host ESXi para que todas las operaciones que se deseen realizar tengan que ser directamente desde vCenter Server o que solo las herramientas de administración y software puedan acceder a la información de los host ESXi. Existen dos modos de bloqueo para los hosts, el primero es el modo de bloqueo normal, donde hay acceso al host mediante vCenter o DCUI (interfaz de usuario de consola directa), pero no a través de SSH. Mientras que el segundo, solo admite el acceso al host mediante vCenter Server, ya que los servicios de DCUI los detiene. La configuración del modo de bloqueo se da de manera individual en cada host desde el panel de configuración, en la opción de “Security Profile”, el parámetro a modificar será el de Lockdown Mode, donde las opciones a elegir para este parámetro son tres, deshabilitado, y como se mencionó anteriormente, normal y estricto:

Si está habilitado un modo de bloqueo y se desea acceder a una sesión por SSH al host correspondiente, se mostrará una notificación de que el host es inaccesible.

Para el modo estricto, se siguen los mismos pasos:

Cuando el bloqueo de host está en modo estricto, no se podrá acceder al DCUI del host:

__________________________________________________________________

ACCESO DE USUARIOS Y ROLES DE AUTENTICACIÓN VMware recomienda crear roles para satisfacer las necesidades de control de acceso del entorno. Si se crea o edita un rol en un sistema de vCenter que es parte de un grupo, las modificaciones que realiza se propagan en todos los otros sistemas de vCenter Server. Para modificar todo lo que se refiere a usuarios, será necesario dirigirse al menú de administración de vSphere, este se puede encontrar en la barra del menú desplegable en la parte superior de la interfaz del cliente web.

El menú de administración permite hacer distintos ajustes a lo que se refiere control de acceso, licencias, soluciones, despliegues, soporte, certificados, entre otros. CREACIÓN Y ADMINISTRACIÓN DE ROLES Definir roles para los usuarios es una práctica segura ya que permite limitar la libertad en el acceso que tiene el usuario a las distintas herramientas de vSphere Client, y por consecuencia, tener un entorno más controlado. Si se ve la configuración actual en los roles, se podrá apreciar que por defecto ya existen algunos, donde si uno es seleccionado, se podrá ver la descripción para comprender la utilidad de asignar el permiso respectivo a un usuario.

Cuando se desea agregar un nuevo rol, aparecerá una ventana en la que se tendrán que marcar los distintos privilegios, estos están divididos por secciones, por lo cual no será difícil navegar entre ellos.

Finalmente, para terminar de crear un rol, se tendrá que especificar el nombre y su descripción.

También existen acciones como la clonación de roles, esta es útil cuando se desea crear un perfil con características parecidas y solo hay que hacer cambios mínimos en el rol. El proceso de edición es muy sencillo: Se selecciona el rol y luego el icono de lápiz:

Sólo deberán modificarse los campos requeridos:

El proceso de clonación es el siguiente, se selecciona el rol y el icono de clonar:

Únicamente deberá agregarse un nombre y una descripción además de los permisos:

Otra ventaja es poder eliminar y modificar aquellos roles creados por el mismo usuario.

GLOBAL PERMISSIONS En este apartado se le podrán asignar roles a los usuarios o grupos actuales. Asimismo, se podrán modificar y eliminar. Asignar permisos a los usuarios, hace que estos tengan una utilidad.

__________________________________________________________________

ADMINISTRACIÓN DE SINGLE SIGN ON Para esto se inició sesión con un nuevo usuario que se creó anteriormente:

AGREGAR USUARIOS PARA SSO Una de las características más interesantes de vSphere es la posibilidad de poder incorporarse a un dominio de Active Directory u OpenLDAP y hacer uso de las credenciales del ordenador de acceso para acceder al cliente, esto quiere decir que no hay necesidad de escribir un usuario y contraseña en la pantalla de inicio de sesión. Para poder agregar usuarios, se dirigió a la sección de “Administration”, configuración de Users and Groups, donde se puede ver un listado de los usuarios ya agregados. Estos también se pueden ver según el dominio al que correspondan:

Cuando se agrega un usuario, se debe seleccionar el dominio al que pertenece. El registro es similar al de un usuario en Active Directory, ya que solo requiere algunos datos de información personal del usuario, donde el nombre del usuario, contraseña y su confirmación son requeridos.

AGREGAR GRUPOS PARA SSO La importancia de agregar y administrar grupos es que, al momento de asignar los roles a los usuarios, estos se podrán definir en un grupo, y todos los privilegios del rol serán heredados a los usuarios y otros grupos que se encuentren dentro de este.

Los datos que se necesitan para crear un nuevo grupo son el nombre, la descripción y los miembros pertenecientes.

INCORPORAR MIEMBROS A UN GRUPO Los miembros de un grupo de vCenter SSO pueden ser usuarios u otros grupos de una o más fuentes de identidad. Para realizar este proceso, se debe hacer lo siguiente: Seleccionar el grupo:

Ingresar al usuario:

ACCEDER A SSO POR EL USO DE CREDENCIALES La característica más importante de SSO es poder iniciar sesión utilizando las mismas credenciales con las que iniciamos sesión en nuestro ordenador, esto es una acción más rápida y que garantiza más seguridad al momento de iniciar sesión. Para hacerlo posible, hay que definir en la administración una fuente de identidad, la cual puede ser un dominio de AD o OpenLDAP. Hay que tener en cuenta que solo los usuarios de AD o OpenLDAP del dominio al que pertenece el sistema de SSO pueden iniciar sesión en vSphere Web Client utilizando las credenciales de Windows. En la configuración de SSO en el menú de administración, se podrá configurar el dominio de Active Directory que servirá como fuente de identidad. La configuración es de la siguiente manera. Se entra a la opción “Hosts and clusters”:

Se elige el dispositivo:

Ejemplo, opción TCP/IP Configuration:

Al haberse verificado la configuración de red, el host se agregará a active directory:

___________________________________________________________________

CONCLUSIÓN Al término de este módulo me quedó más clara la diferencia entre ambos switches lógicos, puedo concluir que vSphere Standard Switch es un switch virtual simple que se configura y administra en el niel del host. Con este, se proporciona acceso, agregación de trafico y tolerancia a fallas ya que se pueden conectar múltiples adaptadores físicos a cada switch virtual. VMware vSphere Distribuited Switch aprovecha las capacidades de vSS y simplifica la administración en implementaciones grandes, ya que aparece como un único switch que abarca múltiples hosts relacionados. Esto permite que realicen cambios una vez y se propaguen a todos los hosts miembros del switch. Considero que este módulo de introducción a las redes y la seguridad es de gran importancia ya que la seguridad de la red es clave para poder mantener un buen

sistema de TI, la información es lo más valioso que se tiene y el protegerla, es lo mejor que se puede hacer. Por lo que el conocer conceptos que van desde agregar un modo de bloqueo a nuestros dispositivos o a los usuarios por ejemplo, es de gran importancia ya que por ejemplo, el hecho de poder hacer uso del servicio de Active Directory brinda unas grandes alternativas de control dentro de nuestro sistema. ___________________________________________________________________

BIBIOGRAFÍA VMware (s.f.). VMware Virtualization 101 Hands-on Lab. Recuperado el 13 de octubre de 2020, de https://my.vmware.com/group/vmware/evalcenter?p=virtualizationhol-20 VMware (s.f.). VMware Virtualization 101 Hands-on Lab. Recuperado el 16 de octubre de 2020, de https://my.vmware.com/group/vmware/evalcenter?p=virtualizationhol-20

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.