امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

معرفی راهکارها و نکات امنیتی برای امن سازی VMware ESXi

به صورت پیش فرض در بستر VMware ESXi ویژگی های متعددی وجود دارد که می‌توانند از نفوذ غیرمجاز و حملات مختلف بر روی بستر ما جلوگیری کنند که به از این بابت این ویژگی ها پیش فرض یا پیکربندی نشده اند و یا به خوبی پیکربندی نشده اند و یا که ما از آنها بی اطلاع هستیم. از این بابت که VMware ESXi در سازمان های داخل کشور کاربرد بسیار زیادی دارد ما به عنوان‌ یک ادمین شبکه وظیفه داریم که محیط خودمان را امن و مطمئن نگه داریم و از این بابت در این مقاله ما به Recommended ها و Best Practice های ارایه شده توسط VMware در رابطه با امن سازی ESXi میپردازیم و آن هارا شرح میدهیم

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

ویژگی ها و نکات امنیتی پیش فرض ESXi 

  • اولین مبحثی که باید انجام شود غیر فعال سازی رابط های مدیریتی هم‌چون ESXi Shell و SSH میباشد و تا حد امکان سعی کنید برای کار های روزمره خود از vSphere Client استفاده کنید و در شرایط خاص برای پیکربندی و عیب یابی و یا رفع مشکلات از سرویس های هم‌چون ESXi Shell و SSH استفاده کنید و برای هرکدام از آنها محدودیت ها و نکات امنیتی خاصی را پیاده سازی کنید، برای مثال میتوانیم برای SSH از SSH Key های قوی استفاده کنیم
  •  در Firewall دیوایس به صورت پیش فرض فقط تعداد محدود و خاصی از Port ها باز و فعال میباشند و شما برای دسترسی به سرویس های دیگر و یا اختصاص سرویس خاصی به Port خاصی باید آن را در Firewall بازکنید.
  • به صورت پیش فرض تمامی Port های که برای دسترسی به میزبان و مدیریت آن استفاده میشوند بسته هستند. در صورتی که نیاز به سرویس خاصی داشته باشید باید Port آن را بازکنید.
  • به صورت پیش فرض ESXi رمز های ضعیف را غیرفعال میکند و در ارتباطات‌ خود از SSL استفاده میکند. به صورت دقیق تر رمزنگاری استفاده شده ارتباطات ESXi به واسطه Certificate های پیش فرض موجود در ESXi میباشد که برابر هستند با PKCS # 1 SHA-256 و از رمزنگاری RSA نیز به عنوان Digital Signature یا همان امضای دیجیتالی استفاده میکند.
  • به صورت پیش فرض یک Web Service در ESXi توسط Web Client اجرا سازی میشود و این Web Service صرفا توابعی مورد نیاز برای مدیریت و نظارت بر روی ESXi را اجرا سازی میکند و همین‌ ویژگی آن سبب شده است در برابر حملات متعدد و آسیب پذیری های مختلف Web Service ها آسیب پذیر نباشد.
  • تمامی هشدار های امنيتي و نقض های امنیتی که برای VMware ESXi ثبت میشوند و توانایی آسیب و تاثیر بر روی آن را دارند را میتوانید توسط این لینک به همراه نکات امنیتی برای برطرف کردن آن و Patch های ارایه شده توسط VMware را به صورت بروز بررسی کنید:
  • سرویس های ناامن مانند FTP و Telnet به صورت پیش فرض بر روی ESXi فعال نمیشوند و Port آنها نیز بسته است.
  • سعی کنید از UEFI Secure برای مقابله با نرم افزار ها و بد افزارهای که امضا دیجیتالی خاصی نشده اند استفاده کنید.

نکات امنیتی که خودمان باید درنظر بگیریم و انجام بدهیم چیست؟

استفاده از ESXi Shell

 از ESXi Shell فقط برای عیب یابی استفاده کنید دیگر نکاتی که باید رعایت شود این است که استفاده از ESXi Shell را باید محدود به عمور عیب یابی و Troubleshooting بنماییم

تغییر رمز عبور پیشفرض

حتما سعی کنید Default Password یا همان رمز عبور پیش فرض را تغییر دهید و از رمز عبور قوی تری استفاده کنید.

اسنفاده از vSphere Client

یکی از نکات امنیتی که باید خودمان رعایت کنیم استفاده از vSphere Client برای مدیریت ESXi Host های مدیریت شده توسط vCenter میباشد.

غیرفعال سازی MOB یا همان Manged Object Browser

توجه داشته باشید که حتما MOB را در سیستم غیر فعال سازی کنید زیرا MOB برای فرآیند های کاوشگری در VMKernel Object Model مورد استفاده قرار میگیرد و از این بابت افراد مهاجم با ایجاد تغییرات و قرار دادن پیکربندی های مختلف به واسطه MOB میتوانند دردسر های را برای Host ما ایجاد کنند زیرا به واسطه MOB میتوانیم Host را مدیریت کنیم

امن سازی SSH

همان‌طور که میدانید به صورت پیش فرض SSH غیر فعال میباشد و شما هم از SSH صرفا برای عیب یابی دیوایس و موارد خاص استفاده کنید و حتما از موارد امنیتی SSH مانند ایجاد و ساخت SSH Key قافل نشوید و همچنین برای کار های روزمره از vSphere Client استفاده کنید.

تغییر تنظیمات ESXi Web Proxy

حتما تنظیمات پیش فرض ESXi Web Proxy را تغییر دهید و قسمت های مختلف امنیتی مانند رمزنگاری و User Security را پیکربندی کنید.


امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

متخصص امنیت اطلاعات و کارشناس شکار تهدیدات بانک ملی ایران ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

نظرات