Skip to content
2010/08/02 / vpourchet

VMware vShield Zones : Configuration.

Configuration de l’instance vShield

 

Notre instance de vShield est maintenant opérationnelle et démarrée. En se positionnant sur notre instance, trois onglets se présentent à nous. Nous commençons par nous rendre dans l’onglet ‘VM discovery’ pour activer la découverte des machines en continu. Pour cela, rendez vous dans la partie ‘Automated’.

 

Dans la liste déroulante ‘Scheaduled discovery state’, sélectionnez l’option ‘Continous’. Cliquez ensuite sur ‘OK’.

    Détaillons a présent les modifications apportées au niveau de la configuration réseau de notre hôte ESX/ESXi. Cette configuration, accessible depuis le client vSphere dans l’onglet ‘Configuration’ et dans la partie ‘Networking’.

    Les éléments de configuration importants ont étés surlignés. Premièrement, un nouveau vSwitch
vSwitch0_VS à été créé. On note également deux nouveaux groupes de ports. Le premier, VSunprot_vShield_esx_1 réside sur le vSwitch0, il représente le groupe de ports affectés aux machines non protégées par vShield. Un second groupe de ports VSmgmt_vShield_esx_1 réside sur vSwitch0 et est dédié à la gestion du vShield Manager. Enfin, sur le nouveau vSwitch
vSwitch0_VS un groupe de ports nommé VSprot_vShield_esx_1 est apparu et représente le groupe de ports dédié aux machines protégées. Notons que le nouveau vSwitch n’est relié à aucun adaptateur physique. En effet le trafic est obligé dans cette situation de passer par la machine virtuelle vShield_esx_1 c’est-à-dire par notre agent vShield.

NOTE : nous avons simulé deux situations, la première se traduit par une VM située connectée au groupe de ports VS_unprot_vShield_esx_1 donc non protegée par l’agent vShield. La seconde se traduit par une VM connectée au groupe de ports VS_prot_vShield_esx_1 donc protegée. Voici la traduction de ces deux situations dans le vShield Manager.

    Dans l’inventaire de notre vShield Manager, les deux machines apparaissent avec des icônes différentes. L’icône de notre machine protégée se traduit par un ‘v’ vert, celle de notre machine non protégée se traduit par un ‘ !’ rouge. De plus, dans la partie ‘Summary’, les VM non protégées sont également listées. Pour protéger notre machine, il faut éditer ses options et au niveau de l’adaptateur réseau virtuel vNic, changer le label par VS_prot_vShield_esx_1.

 

    Installation du plugin de gestion de vShield dans le client vSphere

 

    Dans l’optique de pouvoir gérer votre vShield depuis votre client vSphere au même titre que les autres composants additionnels du datacenter virtuel vmware dont vous disposez, vShield intègre une méthode d’installation du plugin vShield au client vSphere.

    Voici la marche à suivre. Commencez par vous rendre dans l’interface web de gestion du vShield Manager. Sélectionnez dans l’inventaire ‘Settings & Reports’ puis dans l’onglet ‘Configuration’, rendez vous dans la partie intitulée ‘vSphere Plug-in’.

        Cliquez sur ‘Register’.

    Un message d’avertissement de sécurité s’affiche, cliquez sur ‘Ignore’ pour poursuivre. Rendez vous ensuite dans votre client vSphere, puis dans le menu ‘Plugins’ choisissez ‘Manage plug-ins’.

    Le plugin vShield Manager apparait, et est activé (‘Enabled’). De plus, vous disposez dans l’écran d’accueil d’une nouvelle icône vShield.

    Lorsque vous cliquerez sur cette icône vous pouvez rencontrer un pop-up d’alerte de sécurité. Cliquez dans ce cas sur ‘Oui’.

Le plugin de gestion de vShield se traduit par l’affichage des pages Web de gestion du vShield Manager au sein du client vSphere. Ainsi les actions de configurations seront similaires que vous utilisiez le plugin vShield ou l’interface web de gestion.

 

Sécurisation vShield

 

La gestion des utilisateurs s’effectue dans le vShield Manager, dans le menu de gauche (l’inventaire), sélectionner ‘Settings & Reports‘ puis dans l’onglet ‘Users‘ nos utilisateurs s’affichent. Vous pouvez aisément créer des utilisateurs avec des droits sur des objets particuliers.

NOTE : ici nous avons ajouté un utilisateur firewall_root avec le rôle ‘firewall‘ qui lui donne les droits de lecture (‘R‘) sur les règles du firewall.

    Lorsque nous nous connectons avec le login et mot de passe de l’utilisateur, nous constatons les limitations appliquées. Cet utilisateur n’a pas accès au menu d’administration (‘Settings & Reports‘), qui plus est, lors de l’accès aux règles du firewall, aucun bouton pour ajouter, supprimer ou éditer une règle n’est présente.

 

Définition des règles de filtrage du trafic

 

    vShield permet la création de règles de filtrage des paquets à deux niveaux.

    Tout d’abord, il est possible de définir des règles selon le niveau au sein du modèle OSI. Les captures d’écran suivant illustrent les deux possibilités de création de règles de filtrage au niveau L4 et au niveau L2/L3.

    Les règles de filtrage peuvent-être créent à deux niveaux. Au niveau du Datacenter et au niveau des agents. Les règles concernant les niveaux L2/L3 ne peuvent être crées qu’au niveau du Datacenter et les règles concernant le niveau L4 peuvent-être crées à tous les niveaux.

    Les règles appliquées au niveau du datacenter sont prioritaires sur les règles appliquées aux agents. Ainsi si une règle appliquée au niveau d’un agent est en conflit avec une règle appliquée au niveau du datacenter, c’est la règle au niveau du datacenter qui est appliquée.

Monitoring du trafic

 

    vShield permet également de monitorer le trafic réseau au niveau des machines virtuelles de manière à pouvoir aisément créer des règles en adéquation avec un trafic d’activitésnormales‘ et également de pouvoir identifier un traficanormal‘ sur une machine. Le monitoring du trafic est disponible dans l’onglet ‘VM Flow‘.

    Initialement présenté sous la forme d’un graphique, il est possible de changer l’affichage vers le mode ‘rapport‘ en cliquant sur le bouton ‘Show Report‘ en haut à gauche de la page.    

Création de règles a partir du monitoring

 

    Il est possible via vShield d’ajouter une règle issue du monitoring du trafic réseau. Pour ce faire, il suffit de se rendre dans le ‘VM Flow‘ de la machine virtuelle, de basculer l’affichage en mode rapport, puis de développer l’arborescence jusqu’à visualiser la règle concernée. Une fois l’arborescence développée, un bouton radio permet d’ajouter la règle dans le VM Wall.

    Ce qui permet d’ajouter des règles par exemple après avoir audité un trafic réseau correspondant à une activité considérée comme normale.

Port mapping

 

    Par défaut, il est possible d’utiliser le PORT Mapping sous vShield. Le principe du port mapping est de remplacer les numéros de port et protocole par un texte caractérisant l’application.

De nombreuses applications sont déjà présentes. Il suffit pour modifier, ajouter ou supprimer des correspondances entre les couplesport-protocole‘ et ‘application‘ de vous rendre dans le VM Wall puis dans ‘Edit port mappings‘.

    Cet écran sera utile dans le cas d’utilisation d’applications spécifiques non pré-renseignées.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :