Fachartikel

Seite 2 - VMs sicher im Netzwerk betreiben (2)

Firewall mit ESXi-Shell anpassen
Ein Weg, die Firewall zu konfigurieren, führt über die ESXi-Shell. Damit Sie die Firewall in vSphere auf einem Host überwachen oder anpassen können, rufen Sie im vSphere-Client zunächst die Registerkarte "Konfiguration" des vSphere-Hosts auf. Wechseln Sie danach in den Menüpunkt "Sicherheitsprofil". Über den Bereich "Dienste" sehen Sie alle gestarteten Dienste auf dem jeweiligen Host. Auch hierüber erhöhen Sie übrigens die Sicherheit im Netzwerk, indem Sie nicht notwendige Dienste beenden

Bild 4: Mit Putty, SSH und esxcli lassen Sie sich die Einstellungen der vSphere-Firewall
sowie die geöffneten Ports auf einem Host anzeigen.

Damit Sie über das Netzwerk mit der ESXi-Shell einen Host verwalten können, rufen Sie die Eigenschaften der Dienste auf. Starten Sie hier, sofern sie nicht schon laufen, die beiden Dienste SSH und ESXi-Shell. Danach können Sie mit einem SSH-Client wie Putty auf die Shell des Hosts zugreifen. Sobald Sie sich mit Putty als Root-Benutzer mit dem vSphere-Host verbunden haben, führen Sie über das Befehlszeilentool "esxcli" verschiedene Aufgaben durch [1], zum Beispiel das Steuern der Firewall. So können Sie etwa die Firewall-Regeln auf einem vSphere-Host anzeigen lassen. Dazu verwenden Sie den Befehl
esxcli network firewall ruleset rule list
Den aktuellen Status der Firewall auf einem Host erfahren Sie mit
esxcli network firewall get
Ist die Firewall deaktiviert, können Sie diese mit dem Befehl
esxcli network firewall set --enabled true
aktivieren. Darüber hinaus haben Sie auch die Möglichkeit, das Standardverhalten der Firewall zu definieren. Setzen Sie den Wert auf "true" wird standardmäßig der komplette Datenverkehr zugelassen, setzen Sie den Wert auf "false", blockiert die vSphere-Firewalls standardmäßig jeden Datenverkehr, außer speziell erlaubtem. Die Syntax für den Befehl lautet:
esxcli network firewall set --default-action=true
esxcli network firewall set --default-action=false
Nehmen Sie Änderungen an der Firewall-Konfiguration vor, sollten Sie die Firewall so aktualisieren:
esxcli network firewall refresh
Sie können natürlich auch einzelne Regelsätze aktivieren oder deaktivieren:
esxcli network firewall ruleset set --ruleset-id=syslog --enabled true --allowed-all false
Jeder Regelsatz in der vSphere-Firewall besteht aus verschiedenen Regeln. Möchten Sie sich die Regeln für einen bestimmten Regelsatz anzeigen, verwenden Sie den Befehl
esxcli network firewall ruleset rule list --ruleset-id syslog
Sie können die Konfiguration der Firewall auch direkt über deren XML-Steuerdatei vornehmen. Dazu nutzen Sie zum Beispiel den Linux-Editor vi. Um die Konfigurationsdatei zu öffnen, verwenden Sie
vi /etc/vmware/service/service.xml
Seite 1: Firewall in vCenter nutzen
Seite 2: Firewall mit ESXi-Shell anpassen

Im dritten Teil erklären wir, wie Sie Zertifikate in vSphere verwalten und in vCenter installieren. Im ersten Teil warfen wir einen Blick auf Security-Grundlagen wie sichere Passwörter und den Schutz für Storage und Netzwerk.

<< Vorherige Seite Seite 2 von 2
9.07.2018/dr/ln/Thomas Joos

Nachrichten

Kuratierte Azure-Cloud [19.02.2019]

Unisys bringt mit 'CloudForte für Microsoft Azure' ein neues Managed-Service-Angebot auf den Markt. Der Anbieter stellt damit zusätzlich zu den Clouddiensten, wie sie von Microsoft angeboten werden, einen kuratierten Katalog aus vorgefertigten Entwürfen für eigene Cloud-Implementierungen zur Verfügung. Dabei setzt der Anbieter auf einen Pool von mehr als 300 von Microsoft zertifizierte Experten. [mehr]

ownCloud verbessert Office-Unterstützung [11.02.2019]

Die neue ownCloud-Version 10.1 enthält diverse Verbesserungen, die die gemeinsame Bearbeitung von Dateien erleichtern sollen. Durch die Unterstützung des WOPI-Protokolls (Web Application Open Platform Interface) etwa ist es fortan möglich, das Microsoft-Kollaborationstool 'Office Online Server' in ownCloud zu integrieren. [mehr]

Tipps & Tools

Nachrichtendienst mit Verschlüsselung [13.02.2019]

Wenn Sie eine Nachricht verschicken wollen, ohne dabei eine E-Mail-Adresse zu hinterlassen, kann der Onlinedienst 'Due.im' weiterhelfen. Das praktische Internetportal erstellt einen Link zum Kopieren oder schickt diesen auf Wunsch inklusive Verschlüsselung gleich direkt selbst an den Adressaten. Nachdem der Empfänger dann innerhalb von 24 Stunden den Link anklickt beziehungsweise die Nachricht über die Website des Anbieters ansieht, wird der Inhalt gelöscht. [mehr]

Qualitätsbilder für umme [6.02.2019]

Für das Aufhübschen von Präsentationen oder als Begleitmaterial für den Verteiler sind themenrelevante Bilder stets willkommen. In Eigenregie Fotos zu produzieren ist jedoch meist zu aufwändig und Lizenzrechte von Drittanbietern sind nicht immer einfach zu durchschauen beziehungsweise kostenpflichtig. Auf der Webseite 'StockSnap.io' können Sie auf ein Archiv Tausender kostenloser weil lizenzfreier Bilder zurückgreifen. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen