Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Fiedoruk Segurinfo2012
Fiedoruk Segurinfo2012
• Riesgos de la virtualización
• Topologías convencionales
• Anatomía de la red virtual
• Seguridad en switches
• Seguridad en vMotion
• Firewalls virtuales
• Conclusiones
Riesgos de la virtualización
Consola
Consola de
de servidor
servidor
Host
(puerto de gestión)
(puerto de gestión)
MV0 MV1 MV2 MV3
Máquina
Máquina
virtual
virtual (MV)
(MV) ADM vmkernel Vmkernel
Vmkernel
ADM vmkernel
(puerto
(puerto para
para IP
IP Storage
Storage yy
NIC VMotion)
VMotion)
NIC virtual
virtual
(vnic)
(vnic)
Grupo
Grupo de
de
puertos
puertos
vSwitch
Switch
Switch virtual
virtual
(vSwitch)
(vSwitch)
NIC
NIC física
física
(vmnic
(vmnic oo pnic)
pnic)
Switch
Switch físico
físico
LAN
Virtualización de servicios
Virtualización de servicios
Consola de vmkernel
servidor
vSwitch
vSwitch vSwitch
vSwitch vSwitch
vSwitch vSwitch
Virtualizando redes
MV MV MV MV MV MV MV MV
0 1 2 3 2 3 2 3
ADM
VLAN trunk
LAN
Internet
Entornos con vCenter - VDS
vCenter
LAN
Host 1 Host 2
MV MV MV MV MV MV
0 1 2 STD STD 3 4 5
ADM
ADM vmkernel
vmkernel vmkernel
vmkernel ADM
ADM
VLAN X VLAN Y
vSwitch vSwitch VLAN Y VLAN X
vNetwork
SRV Distributed Switch
SRV
VLAN trunks
vSwitch con
capacidad de
VLAN privada
(PVLAN)
¿Qué seguridad agrega el VDS?
Switches de terceros
M M M M M M M M M M M M
V V V V V V V V V V V V
vCenter
15
Consideraciones para switches Nexus
config.version = "8"
virtualHW.version = "7"
pciBridge0.present = "true"
pciBridge4.present = "true"
pciBridge4.virtualDev = "pcieRootPort"
pciBridge4.functions = "8" LAN
pciBridge5.present = "true"
pciBridge5.virtualDev = "pcieRootPort"
pciBridge5.functions = "8"
pciBridge6.present = "true"
pciBridge6.virtualDev = "pcieRootPort" vmkernel
vmkernel
vmkernel
vmkernel
pciBridge6.functions = "8"
pciBridge7.present = "true"
pciBridge7.virtualDev = "pcieRootPort" Vmotion Vmotion
ADM
ADM
ADM pciBridge7.functions = "8" ADM
MV0 MV1 MV2 MV3 MV0 MV1 MV2 MV3
vmci0.present = "true"
nvram = "Windows 2008 AD.nvram"
virtualHW.productCompatibility = "hosted"
ADM
ADM powerType.powerOff = "soft"
powerType.powerOn = "hard"
powerType.suspend = "hard"
powerType.reset = "soft" VDS
displayName = "Windows 2008 AD"
extendedConfigFile = "Windows 2008 AD.vmxf"
scsi0.present = "true"
scsi0.sharedBus = "none"
scsi0.virtualDev = "lsilogic"
memsize = "512"
scsi0:0.present = "true"
scsi0:0.fileName = "Windows 2008 AD.vmdk"
scsi0:0.deviceType = "scsi-hardDisk"
sched.scsi0:0.shares = "normal"
sched.scsi0:0.throughputCap = "off"
Seguridad en vMotion
LAN
vmkernel vmkernel
vmkernel vmkernel
Vmotion Vmotion
ADM
ADM ADM
ADM
MV0 MV1 MV2 MV3 MV0 MV1 MV2 MV3
ADM
ADM
SRV
SRV
ADM
ADM
LAN
Firewalls virtuales
MV MV MV MV MV MV MV MV
0 1 2 3 2 3 2 3
ADM
ADM
LAN
Esquema de red virtual
LAN
vmkernel vmkernel
vmkernel vmkernel
Vmotion Vmotion
ADM
ADM ADM
ADM
LAN VDS
MV MV MV MV MV MV MV MV ADM
ADM 0 1 2 3 0 1 2 3
ifiedoruk@cybsec.com