ESXI absichern

[Grompel]

Hallo zusammen,

ich habe mir vor ein paar Tagen einen Root Server von Hetzner gemietet und auf diesem ESXI installiert. Hierfür musste ich noch 2 zusätzliche IPs dazumieten um die virtuellen Maschinen mit IPs zu versorgen, da die "mitgelieferte" IP benötigt wird um ESXI zu verwalten.

Meine Frage ist, gibt es eine Möglichkeit das Webpanel von ESXI zusätzlich abzusichern? Jeder der die IP herausfindet kann auf die Weboberfläche zugreifen. Mir ist durchaus klar das diese durch ein Passwort geschützt ist, aber ich bin mir sicher das ein Passwort heutzutage nicht mehr als alleiniger Schutz ausreicht.

Vielen Dank schonmal für Vorschläge!

 

[marce]

selbst nutze ich kein esx mehr, aber "grundlegend" meint Google, es gäbe einen hardening-guide, man könnte die Firewall verwenden und ggf. für die Zeit wo nicht benötigt, das Webinterface abschalten.

 

[mr_brain]

Zusätzlichen vSwitch1 definieren.

Eine VM mit VPN (z.B. pfSense) erstellen. NIC0 an vSwitch0, NIC1 an vSwitch1

IP des ESXi auf den neuen vSwitch1 legen.

vSwitch0 ist dann nur noch reiner Switch für die VMs mit Außenanbindung.

 

[storvi]

Die Lösung hat aber den Nachteil, dass die VM immer ohne Probleme automatisch starten muss, um den Server zu administrieren.

Bei einem Upgrade kann diese aber beispielsweise auch mal nicht mehr starten und du musst über IPMI oder ILO ran.

Vielleicht hast du ja einen kleinen vServer mit fester IP-Adresse, den du als einzig erlaubte Quell-IP bei der ESXI-Firewall definieren kannst. Ansonsten evtl. über SSH-Forwarding arbeiten? Ich habe leider auch keinen ESXI-Server.

Gruß
Markus

 

[Thunderbyte]

Die beste Lösung (bei mir umgesetzt) ist es, die ESXi IP auf eine private IP zu setzen und hinter eine Serverprovider Firewall mit VPN Zugang zu packen, so dass die Adminoberfläche vom Internet nicht direkt erreichbar ist und die Einwahl per VPN voraussetzt.

Das Aufsetzen einer eigenen Firewall (wie beschrieben) ist problematisch, da es dann zu einem Henne-Ei Erreichbarkeitsproblem kommt. Das ist m.E. deutlich zu "gefährlich".

Bei vernünftigen, oft kleineren Anbietern ist das, nach Rücksprache, so möglich.

Eine Alternative ist noch, (bei einem vernünftigen Provider) eine Firewall Appliance (Hardware) vor den ESXi zu hängen und damit nicht nur die Adminoberfläche, sondern auch die VMs abzusichern.