Home » VMware vSphere

VMware vSphere BPDU Filter

Florian Murillo Posted On junio 14, 2013
0
1.7K Views


vSphere BPDU VirtualizaciónHola amigos, soy Florián Murillo y aquí estoy, como cada viernes.

Una de las características de los switches distribuidos de vSphere 5.1 que mas dudas genera, es la nueva posibilidad de activar BPDU Filter.

¿Que son las BPDU? En una red con múltiples caminos entre switches, utilizamos el protocolo Spanning-Tree (STP) para bloquear puertos en los switches y evitar que haya dos caminos activos entre switches, STP proporciona caminos alternativos, pero no simultáneos, bloqueando y desbloqueando puertos.

STP se activa en todos los switches y el dialogo STP entre switches se realiza mediante unas tramas especiales de nivel 2 llamadas BPDU, mediante estas tramas se anuncia información al switch vecino y se negocia que puerto dejaremos bloqueado.

En estas tramas viaja información que puede cambiar la topología de la red, por ejemplo desbloquear un camino porque el activo ha caído.

Las buenas prácticas de VMware y Cisco recomiendan que se desactive STP en los puertos de switches donde conectamos un adaptador de un host ESXi, debido a que los switches virtuales no «hablan» STP, ni tampoco se comunican mediante BPDUs. Pero no siempre se siguen las buenas prácticas ¿verdad?.

¿Que misión tiene la función BPDU Filter en los vDS de vSphere 5.1? Imaginemos una VM que ha sido comprometida por un intruso. Si la VM es capaz de enviar, a través de un troyano, BPDUs para que lleguen a puertos físicos con STP activado en un switch con una configuración descuidada, esta VM puede modificar la topología de STP y crear un ataque DoS, bloqueando, por ejemplo, los puertos del switch físico a los que la VM pueda alcanzar.

La misión de BPDU Filter en los vDS es precisamente bloquear este tráfico anormal cuando procede de una VM, sin que llegue a la red física, es por tanto, un mecanismo de seguridad ante ataques de DoS.

Es una solución simple a un problema de difícil detección cuando existe, si desconocemos el origen del problema, seguramente pensaremos que es un problema del host, moveremos las VMs a otro host y extenderemos el problema.

BPDU Filter viene desactivado por defecto, es una política habitual de VMware que no comparto.

Activarlo a nivel de host con Net.BlockGuestBPDU = 1

Y como dicen los sabios: Mejor prevenir que curar, o lo que es lo mismo, activa BPDU Filter si no existe un motivo que justifique dejarlo por defecto. Sed felices.

Si te ha gustado este articulo, por favor,compártelo en Twitter o en Facebook con los botones de abajo o deja tus comentarios. Muchas gracias por tu apoyo!

Post Views: 1.678



Author

Florian Murillo

Florián Murillo es CTO y socio fundador de Cloud Consulting, consultora especializada en cloud computing y DataCenter, con mas de 25 años asesorando empresas de todos los tamaños y con amplia experiencia en Seguridad, Virtualización VMware (VCP5 y VCI5) y Networking de Cisco (CCNP, CCDP y CCSP). Actualmente se dedica a ayudar a desarrollar negocios y proyectos en la nube a integradores, consultoras y proveedores de servicio.

You may also like
VMware Cloud disponible para AWS
septiembre 5, 2017
VMworld 2017 en Barcelona
julio 25, 2017
¿Qué es la virtualización del puesto de trabajo?
julio 4, 2017
Read Next
Leave A Reply

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.


You are reading
VMware vSphere BPDU Filter
Share No Comment