Cách làm việc của Security Profile Do security profile của VMware ESX Server là một phần mềm tường lửa của ESX Server nên công việc của nó là nhằm mục đích kiểm tra các lưu lượng gửi đế
Trang 1Giới thiệu về Security Profiles của VMware ESX Server
Trang 2Phần mềm tường lửa có trong VMware ESX Server được gọi là “security profile” Để dễ hiểu hơn, bạn có thể cho rằng tường lửa này chính là tường lửa cho toàn bộ cấu hình – gồm có giao diện của dịch vụ (nếu không phải là máy chủ ESXi), tuy nhiên cũng không phải là các máy khách ảo đang chạy trên host Với tư cách cá nhân ban đầu tôi chỉ mong rằng nó vẫn được gọi là tường lửa (firewall), tuy nhiên thuật ngữ “security profile” đã ngày càng thể hiện sự rõ nét của nó Hy vọng rằng sau khi đọc xong bài này các bạn sẽ thu hoạch được nhiều vấn đề Hãy tìm hiểu cách làm việc, cấu hình nó trong GUI & CLI, và tại sao nó lại quan trọng đối với bạn đến vậy khi bạn là một VMware Admin
Cách làm việc của Security Profile
Do security profile của VMware ESX Server là một phần mềm tường lửa của ESX Server nên công việc của nó là nhằm mục đích kiểm tra các lưu lượng gửi đến và gửi đi đối của các cổng TCP & UDP với ESX server Thực hiện công việc này nhằm bảo đảm cho máy chủ tránh được các tấn công của các phần tử xấu trên mạng
Mặc định, chỉ có các kết nối gửi đến cụ thể nào đó mới được phép gửi đến VMware ESX Server Đặc biệt, (trên ESX 3.5 Server) chỉ có SSH và các cổng có liên quan đến các dịch vụ quản lý VMware Infrastructure & Virtual Center mới được cho phép gửi đến Nếu muốn truy cập vào máy chủ bằng bất kỳ một ứng dụng khác nào, gửi đến, thì bạn cần phải mở cổng cụ thể đó
Tại sao Security Profile lại quan trọng đối với các Admin của ESX
Server như vậy?
Security Profile của VMware ESX Server rất quan trọng đối với bạn (nếu bạn là một quản trị viên ESX Server) vì một số lý do sau:
Trang 3 Bạn có thể hiểu được cách ESX Server của mình được bảo vệ tránh cách tấn công như thế nào vào để từ đó có cách bảo vệ đúng đắn cho máy chủ của mình
Nếu có các dịch vụ ESX có thể kích hoạt, chẳng hạn như FTP hoặc NTP, thì bạn sẽ cần phải mở các cổng security profile
Nếu cài đặt bất kỳ các ứng dụng nào của các hãng thứ ba trên máy chủ, bạn cũng cần mở các cổng
Cách cấu hình Security Profiles trong VMware ESX Server VI Client
Để cấu hình Security Profiles trong VMware Infrastructure Client (VI Client), bạn hãy khởi động máy khách này, đăng nhập và kích vào ESX Server, xem thể hiện trong hình 1 bên dưới
Hình 1: Truy cập vào Security Profiles của VMware ESX Server
Tiếp đến bạn cần phải kích vào tab Configuration, sau đó là Security
Profile (bên dưới Software), xem trong hình 1
Trang 4Từ đây, có thể thấy (ở bên trái) các cổng của Security Profiles gì (tường lửa)
đã được mở trên máy chủ của bạn (cả lưu lượng gửi đến và gửi đi) Cho ví
dụ, trên máy chủ này, bạn có thể thấy các dịch vụ SSH và CIM (đã được sử dụng cho VI Client và Virtual Center) đều được mở tất đối với lưu lượng gửi đến Lưu lượng gửi đi, SSH, Virtual center, VMware License server, iSCSI, NTP, và VCB, tất cả cũng được mở
Hình 2: Quan sát trạng thái của Security Profiles và cấu hình các thuộc tính của Security Profiles
Vậy cách thực hiện thay đổi các cổng đã mở như thế nào (cả gửi đến lẫn gửi
đi)? Câu trả lời chính là việc kích vào Properties trong Security Profiles,
xem trong hình 2 bên trên
Khi bạn kích vào các thuộc tính của Security Profiles, bạn sẽ thấy một cửa
sổ mới xuất hiện giống như trong hình dưới đây:
Trang 5Hình 3: Cấu hình các thuộc tính của Security Profiles
Từ cửa sổ các thuộc tính của Security Profiles, bạn có thể kích hoạt các ứng dụng và các cổng đã được cấu hình từ trước
Hãy cho rằng chúng ta muốn kích hoạt các dịch vụ SNMP cho cả lưu lượng gửi đến và gửi đi Để thực hiện nhiệm vụ này, bạn hãy tích vào hộp kiểm bên cạnh dịch vụ đó Trong trường hợp của chúng tôi ở ví dụ này, chúng tôi
đã kích hoạt SNMP Server port, cho phép lưu lượng UDP gửi đến trên cổng
161 và lưu lượng UDP trên cổng 161 Lưu ý rằng SNMP không được kết nối với một tiện ích cụ thể nào như SSH server Để áp dụng các thay đổi, kích
OK
Nhiều khi bạn cần phải mở một cổng trong tường lửa cho các ứng dụng khác Cho ví dụ nếu bạn muốn sử dụng iSCSI
Trang 6Nếu một cổng được kết nối với một tiện ích và bạn chọn cổng nào đó rồi,
khi đó hoàn toàn có thể kích nút Option cho cổng và xem các dịch vụ có
liên quan giống như trong hình dưới đây:
Hình 4: Các thuộc tính của tiện ích và dịch vụ
Vì không muốn tạo ra bất cứ một thay đổi nào cho dịch vụ nên trong ví dụ chúng tôi đã kích OK
Lưu ý rằng bạn sẽ bị hạn chế đối với các ứng dụng được cấu hình trước và bất cứ cổng gửi đến và gửi đi nào của chúng cũng đều được cấu hình trước cho ứng dụng đó Thêm vào đó, từ giao diện GUI bạn cũng không thể bổ sung thêm các cổng hoặc ứng dụng mới nào
Cách cấu hình Security Profiles từ command line (CLI)
Để cấu hình Security Profiles từ tiện ích dòng lệnh, bạn hãy sử dụng lệnh
esxcfg-firewall Bạn cần phải đăng nhập trước khi sử dụng lệnh này
Cú pháp của lệnh rất đơn giản Để xem các tùy chọn của lệnh, bạn chỉ cần
đánh lệnh esxcfg-firewall, và nhấn Enter (xem trong hình 5 bên dưới)
Trang 7Hình 5: Cú pháp của lệnh esxcfg-firewall
Để quan sát các cổng mở, bạn hãy sử dụng tùy chọn esxcfg-firewall -q
Để mở một cổng nào đó, bạn đánh một lệnh tương tự như dưới đây:
[root@ESX3 root]# esxcfg-firewall -o 1000,tcp,in,test
Mặc dù vậy, không nên mong đợi sự thay đổi của CLI hiện lên trong giao diện GUI
Bạn cũng có thể cấu hình một dải các cổng, giống như dưới đây:
[root@ESX3 root]# esxcfg-firewall -o 1000:1050,tcp,in,test
Kết luận
Trong bài này chúng tôi đã giới thiệu cho các bạn về phần mềm tường lửa có trong VMware ESX Server – “Security Profiles” Bạn đã thấy được cách Security Profiles làm việc như thế nào, cùng với đó là cách cấu hình nó trong GUI & CLI và tại sao nó lại quan trọng đối với các quản trị viên
Vmware như vậy
