VMware vSphere ESX/ESXi y el Forget Transmits
Hola amigos, soy Florián Murillo y me sigue sorprendiendo las instalaciones de vSphere que todavía tienen los valores de seguridad por defecto, cuando las recomendaciones del fabricante son muy claras.
Me preocupa especialmente el valor por defecto de Forget Transmitsde la imagen de la cabecera
Recordemos la definición de Forget Transmits: Con el valor por defecto (Accept) no compara la dirección MAC origen que procede de una VM con la dirección MAC real de la VM. Con el valor de Reject no se aceptará tráfico de la VM que no contenga la dirección MAC correcta.
Eso quiere decir que, con los valores por defecto, si un malware o un hacker consigue comprometer una VM puede provocar ataques de DoS o Man-in-the-Middle, lo que es lo mismo que puede, por envenenamiento de las tablas ARP, reconducir el tráfico de cualquier servidor a esta VM y de allí al destino real, recogiendo todo el tráfico transferido, o sea, usuarios, contraseñas y demás, preocupante ¿no?.
Además es muy sencillo de hacer, simplemente necesitamos una de las muchas herramientas de envenenamiento de ARP que hay en Internet, como por ejemplo ETTERCAP.
La recomendación de VMware es poner Forget Transmits a Reject, os adjunto un ejemplo de muestra para ver como desde PowerCLI podemos interrogar a un host acerca del valor de ForgetTransmits en su vSwitch0:
Connect-VIServer -Server 1.1.1.1 -User root -Password passware
get-vmhost | foreach-object {
$vmhost = $_
$hostview = $vmhost | get-view
$vsconfig = $hostview.config.network.vswitch | where-object {$_ -eq «vSwitch0»}
$vsspec = $vsconfig.spec
write-host $vmhost.name
if ($vsspec.policy.security.forgedTransmits) {
write-host («Forged Transmits: » + «NO COMPLIANCE»)
} else {
write-host («Forged Transmits: » + «COMPLIANCE»)
}
}
Gracias y hasta el próximo viernes y que tengáis un buen fin de semana