افزایش امنیت ماشین های مجازی در ESXi با ایجاد روتر اختصاصی و ایزوله سازی شبکه
در دنیای امروز که زیرساخت های مجازی سازی بخش اصلی دیتاسنتر ها را تشکیل می دهند، افزایش امنیت ماشین های مجازی یکی از مهم ترین دغدغه های مدیران شبکه و متخصصان زیرساخت است. بسیاری از سازمان ها از سرور مجازی ساز ESXi استفاده می کنند اما تنظیمات پیش فرض شبکه در این بستر، همیشه بالاترین سطح امنیت را فراهم نمی کند.
یکی از بهترین روش ها برای بالا بردن امنیت ماشین های مجازی در ESXi، ایجاد یک روتر داخلی، تعریف سابنت اختصاصی، مدیریت رنج IP و حتی قرار دادن خود ESXi پشت روتر امن است.
در این مقاله به صورت کامل و مرحله به مرحله آموزش می دهیم که چگونه در یک سرور ESXi روتر ایجاد کنیم، شبکه داخلی امن بسازیم، سابنت تعریف کنیم، رنج IP مشخص کنیم، ماشین های مجازی را ایزوله کنیم و در نهایت امنیت روتر و خود ESXi را افزایش دهیم.
جهت مشاوره خرید سرور مجازی ایران و یا سرور اختصاصی ایران می توانید با کارشناسان بخش فروش قائم هاست بصورت 24 ساعته حتی در ایام تعطیل از طریق ارسال تیکت در ارتباط باشید و نسبت به سوالات قبل از خرید اقدام نمایید.
افزایش امنیت ماشین های مجازی در ESXi با ایجاد روترچرا افزایش امنیت ماشین های مجازی اهمیت دارد؟
ماشین های مجازی معمولا روی یک سرور فیزیکی مشترک اجرا می شوند. اگر شبکه به درستی طراحی نشده باشد، ممکن است:
- دسترسی غیر مجاز به ESXi ایجاد شود
- ماشین های مجازی به صورت مستقیم در اینترنت قرار بگیرند
- حملات اسکن پورت و Brute Force انجام شود
- ترافیک داخلی شنود شود
- بد افزار از یک VM به VM دیگر منتقل شود
ایجاد روتر داخلی در ESXi باعث می شود شبکه ماشین های مجازی از شبکه اصلی جدا شود و یک لایه امنیتی جدید اضافه شود.
سناریو پیشنهادی برای افزایش امنیت در ESXi
در این سناریو ما می خواهیم:
- یک روتر مجازی داخل ESXi ایجاد کنیم
- یک سابنت داخلی مثلا 192.168.100.0/24 تعریف کنیم
- یک رنج IP برای ماشین های مجازی تعیین کنیم
- تمام VM ها را پشت این روتر قرار دهیم
- حتی IP مدیریت ESXi را نیز پشت روتر ببریم
- روی روتر فایروال و تنظیمات امنیتی اعمال کنیم
برای پیاده سازی روتر می توانید از MikroTik CHR، pfSense یا هر روتر مجازی دیگر استفاده کنید.
مرحله اول: ساخت vSwitch و Port Group جدید در ESXi
ابتدا وارد پنل مدیریت ESXi شوید.
- به بخش Networking بروید
- یک vSwitch جدید ایجاد کنید
- یک Port Group با نام Internal Network بسازید
- این Port Group را بدون اتصال مستقیم به کارت شبکه فیزیکی تنظیم کنید
در این مرحله شما یک شبکه داخلی ایزوله در ESXi ساخته اید که هیچ دسترسی مستقیمی به اینترنت ندارد.
مرحله دوم: ایجاد ماشین مجازی روتر
حالا باید یک ماشین مجازی روتر ایجاد کنیم.
- یک VM جدید بسازید
- سیستم عامل را مثلا MikroTik CHR یا pfSense انتخاب کنید
- دو کارت شبکه به آن اختصاص دهید
کارت شبکه اول:
متصل به vSwitch اصلی که به اینترنت وصل است
کارت شبکه دوم:
متصل به Internal Network که ساختیم
به این صورت روتر شما بین اینترنت و شبکه داخلی قرار می گیرد.
مرحله سوم: تنظیم سابنت و رنج IP در روتر
بعد از نصب روتر:
- وارد تنظیمات شبکه روتر شوید
- برای اینترفیس داخلی IP تنظیم کنید مثلا:
IP: 192.168.100.1
Subnet Mask: 255.255.255.0
حالا سابنت شما به صورت زیر است:
192.168.100.0/24
می توانید رنج IP برای DHCP تعریف کنید مثلا:
192.168.100.10 تا 192.168.100.200
یا اگر می خواهید IP استاتیک بدهید، برای هر VM یک IP مشخص تعریف کنید.
این ساختار باعث می شود تمام ماشین های مجازی پشت روتر قرار بگیرند و مستقیما در معرض اینترنت نباشند.
مرحله چهارم: اتصال ماشین های مجازی به شبکه امن
اکنون باید کارت شبکه تمام VM ها را تغییر دهید:
- وارد تنظیمات هر ماشین مجازی شوید
- Network Adapter را به Internal Network تغییر دهید
- Gateway را 192.168.100.1 تنظیم کنید
به این صورت همه VM ها از طریق روتر به اینترنت متصل می شوند.
این کار باعث افزایش امنیت ماشین های مجازی در ESXi می شود زیرا تمام ترافیک از روتر عبور می کند.
مرحله پنجم: قرار دادن خود ESXi پشت روتر
برای افزایش امنیت بیشتر، می توان IP مدیریت ESXi را نیز پشت همین روتر برد.
روش کار:
- یک Port Group جدید برای Management بسازید
- آن را به Internal Network متصل کنید
- IP جدید برای ESXi تعریف کنید مثلا: 192.168.100.2
- Gateway را 192.168.100.1 قرار دهید
در این حالت دیگر ESXi مستقیما در اینترنت نیست و فقط از طریق روتر قابل دسترسی است.
این یکی از مهم ترین تکنیک های افزایش امنیت سرور ESXi است.
مرحله ششم: امن سازی روتر
حالا مهم ترین بخش یعنی امنیت روتر را انجام می دهیم.
- بستن پورت های غیر ضروری
در تنظیمات فایروال روتر:
- پورت های غیر ضروری را ببندید
- فقط پورت های مورد نیاز مثل 80، 443 یا 22 را باز بگذارید
- تغییر پورت های پیش فرض
مثلا پورت SSH را از 22 به عدد دیگری تغییر دهید.
- فعال سازی فایروال
قوانین فایروال تنظیم کنید:
- بلاک کردن دسترسی از IP های ناشناس
- محدود کردن دسترسی به ESXi فقط از IP های مشخص
- جلوگیری از Port Scan
- فعال سازی NAT
تنظیم Masquerade در روتر باعث می شود IP های داخلی مخفی شوند و از دید اینترنت پنهان بمانند.
- فعال سازی IPS و IDS
در صورت استفاده از pfSense می توانید Suricata یا Snort را فعال کنید تا حملات شناسایی و مسدود شوند.
بهترین ساختار شبکه برای امنیت ESXi
یک ساختار پیشنهادی حرفه ای:
اینترنت
↓
مودم یا روتر اصلی
↓
روتر مجازی در ESXi
↓
شبکه داخلی 192.168.100.0/24
↓
ماشین های مجازی
در این ساختار:
- ماشین های مجازی ایزوله هستند
- ESXi پشت روتر امن است
- امکان تعریف VLAN وجود دارد
- کنترل کامل روی ترافیک ورودی و خروجی دارید
مزایای ایجاد روتر برای افزایش امنیت ماشین های مجازی
- ایزوله سازی شبکه داخلی
- مخفی سازی IP های داخلی
- جلوگیری از حملات مستقیم به ESXi
- امکان تعریف فایروال پیشرفته
- کنترل پهنای باند
- مانیتورینگ ترافیک
- افزایش امنیت دیتاسنتر مجازی
نکات حرفه ای برای امنیت بیشتر
- دسترسی SSH به ESXi را محدود کنید
- از رمز عبور قوی استفاده کنید
- احراز هویت دو مرحله ای فعال کنید
- بکاپ منظم از تنظیمات روتر بگیرید
- آپدیت منظم ESXi و روتر را انجام دهید
- از VLAN برای تفکیک شبکه ها استفاده کنید
- لاگ های امنیتی را مانیتور کنید
افزایش امنیت ماشین های مجازی در ESXi بدون طراحی صحیح شبکه امکان پذیر نیست. ایجاد روتر مجازی، تعریف سابنت اختصاصی، مدیریت رنج IP، استفاده از NAT و فایروال، و قرار دادن خود ESXi پشت روتر، یک معماری امن و حرفه ای ایجاد می کند.
اگر شما مدیر شبکه یا ادمین سرور هستید، پیاده سازی این ساختار می تواند سطح امنیت زیرساخت مجازی شما را چندین برابر کند. در واقع با این روش، ماشین های مجازی مستقیما در معرض اینترنت قرار نمی گیرند و تمام ترافیک تحت کنترل کامل روتر و فایروال خواهد بود.
افزایش امنیت ESXi با ایجاد روتر نه تنها یک انتخاب حرفه ای، بلکه یک ضرورت برای هر زیرساخت مجازی امن است.
آموزش کامل پیاده سازی روتر امن در ESXi برای افزایش امنیت ماشین های مجازی
در ادامه مقاله قبلی، اکنون وارد بخش عملی و کاملا اجرایی می شویم. در این بخش قدم به قدم از صفر تا صد پیاده سازی روتر در ESXi، ساخت سابنت، تنظیم رنج IP، فعال سازی NAT، فایروال، قرار دادن ESXi پشت روتر و اعمال تنظیمات امنیتی پیشرفته را آموزش می دهیم.
در این آموزش از MikroTik CHR استفاده می کنیم زیرا سبک، قدرتمند و بسیار مناسب برای امنیت ماشین های مجازی است. البته همین سناریو با pfSense نیز قابل اجرا است.
افزایش امنیت ماشین های مجازی در ESXi با ایجاد روتر مرحله صفر: پیش نیاز ها
قبل از شروع پیاده سازی افزایش امنیت ماشین های مجازی در ESXi باید موارد زیر آماده باشد:
- یک سرور ESXi نصب شده
- دسترسی به پنل مدیریت ESXi
- فایل ISO یا Image مربوط به MikroTik CHR
- حداقل یک IP Public
- دسترسی به اینترنت
مرحله اول: دانلود و آماده سازی MikroTik CHR
- وارد سایت رسمی MikroTik شوید
- نسخه CHR را دانلود کنید
- اگر فایل zip دریافت کردید آن را Extract کنید
- اگر فرمت vmdk بود مستقیم قابل استفاده است
در صورت داشتن فایل img می توانید آن را به vmdk تبدیل کنید.
مرحله دوم: ساخت vSwitch ها در ESXi
وارد پنل ESXi شوید:
- از منوی Networking وارد بخش Virtual Switches شوید
- یک vSwitch جدید بسازید به نام vSwitch-WAN این vSwitch باید به کارت شبکه فیزیکی متصل باشد
- یک vSwitch دیگر بسازید به نام vSwitch-LAN این vSwitch نباید به کارت شبکه فیزیکی متصل باشد
حالا دو Port Group ایجاد کنید:
- WAN-Network روی vSwitch-WAN
- LAN-Network روی vSwitch-LAN
این ساختار پایه ای ترین اصل در افزایش امنیت ESXi است چون شبکه داخلی را ایزوله می کند.
مرحله سوم: ساخت ماشین مجازی روتر
- وارد بخش Virtual Machines شوید
- گزینه Create New VM را بزنید
- نام را بگذارید: Router-CHR
- Compatibility را روی نسخه ESXi خود بگذارید
- Guest OS را Linux 64bit انتخاب کنید
تنظیمات سخت افزاری:
- RAM: حداقل 512MB
- Disk: 2GB کافی است
- Network Adapter 1 → WAN-Network
- Network Adapter 2 → LAN-Network
اگر فایل vmdk دارید آن را Attach کنید.
VM را روشن کنید.
مرحله چهارم: تنظیم اولیه MikroTik CHR
پس از بوت شدن، وارد کنسول شوید.
نام کاربری پیش فرض:
admin
رمز عبور ندارد
اولین کار: تغییر رمز عبور
/password
رمز قوی تنظیم کنید.
مرحله پنجم: تنظیم IP روی اینترفیس WAN
ابتدا اینترفیس ها را ببینید:
/interface print
معمولا:
ether1 = WAN
ether2 = LAN
حالا روی WAN آی پی Public ست کنید:
/ip address add address=1.2.3.4/24 interface=ether1
Gateway را تنظیم کنید:
/ip route add gateway=1.2.3.1
DNS را تنظیم کنید:
/ip dns set servers=8.8.8.8,8.8.4.4 allow-remote-requests=yes
تست اینترنت:
/ping 8.8.8.8
مرحله ششم: ساخت سابنت داخلی برای ماشین های مجازی
حالا وارد بخش LAN می شویم.
تنظیم IP داخلی:
/ip address add address=192.168.100.1/24 interface=ether2
این یعنی:
Subnet = 192.168.100.0/24
Gateway ماشین های مجازی = 192.168.100.1
مرحله هفتم: فعال سازی DHCP Server
برای مدیریت رنج IP و راحتی کار:
/ip pool add name=dhcp_pool ranges=192.168.100.10-192.168.100.200
ساخت DHCP Server:
/ip dhcp-server add name=dhcp1 interface=ether2 address-pool=dhcp_pool disabled=no
تعریف شبکه DHCP:
/ip dhcp-server network add address=192.168.100.0/24 gateway=192.168.100.1 dns-server=8.8.8.8
اکنون ماشین های مجازی به صورت خودکار IP دریافت می کنند.
مرحله هشتم: فعال سازی NAT برای مخفی سازی IP داخلی
این مرحله بسیار مهم در افزایش امنیت ماشین های مجازی است.
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
این دستور باعث می شود تمام IP های داخلی با IP Public شما به اینترنت متصل شوند.
مرحله نهم: تنظیم فایروال برای امنیت روتر
قوانین پایه امنیتی:
بلاک کردن دسترسی از اینترنت به روتر:
/ip firewall filter add chain=input connection-state=invalid action=drop
/ip firewall filter add chain=input connection-state=established,related action=accept
/ip firewall filter add chain=input in-interface=ether1 action=drop
اجازه دسترسی فقط از شبکه داخلی:
/ip firewall filter add chain=input in-interface=ether2 action=accept
این کار دسترسی مستقیم به روتر از اینترنت را مسدود می کند.
مرحله دهم: اتصال ماشین های مجازی به LAN-Network
حالا:
وارد تنظیمات هر VM شوید
Network Adapter را روی LAN-Network بگذارید
ماشین را ریست کنید
اگر DHCP فعال باشد، IP می گیرد.
تست کنید:
ping 192.168.100.1
ping 8.8.8.8
مرحله یازدهم: انتقال IP مدیریت ESXi پشت روتر
این مرحله مهم ترین بخش افزایش امنیت ESXi است.
وارد Networking شوید
یک Port Group جدید روی vSwitch-LAN بسازید مثلا ESXi-Management
وارد VMkernel Network Adapter شوید
IP جدید تنظیم کنید:
192.168.100.2
Subnet: 255.255.255.0
Gateway: 192.168.100.1
بعد از ذخیره، ESXi دیگر مستقیم در اینترنت نیست.
از این به بعد باید از طریق شبکه داخلی به آن متصل شوید.
مرحله دوازدهم: محدود سازی دسترسی به ESXi از طریق روتر
در MikroTik فقط اجازه بدهید یک IP خاص به ESXi وصل شود:
/ip firewall filter add chain=forward dst-address=192.168.100.2 src-address=YOUR_IP action=accept
/ip firewall filter add chain=forward dst-address=192.168.100.2 action=drop
این یعنی فقط IP مشخص شده می تواند به ESXi دسترسی داشته باشد.
مرحله سیزدهم: تغییر پورت های مدیریتی
در MikroTik:
/ip service set winbox port=8292
/ip service set ssh port=2222
سپس سرویس های غیر ضروری را غیرفعال کنید:
/ip service disable telnet
/ip service disable ftp
/ip service disable www
مرحله چهاردهم: فعال سازی Port Forward امن
اگر می خواهید مثلا یک سرور داخل شبکه Publish شود:
/ip firewall nat add chain=dstnat dst-port=80 protocol=tcp action=dst-nat to-addresses=192.168.100.10 to-ports=80
ولی حتما فایروال محدود کننده بگذارید.
مرحله پانزدهم: فعال سازی محافظت در برابر حملات
بلاک کردن Port Scan:
/ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=drop
بلاک کردن Brute Force SSH:
/ip firewall filter add chain=input protocol=tcp dst-port=2222 connection-state=new src-address-list=ssh_blacklist action=drop
نتیجه نهایی معماری امن
اکنون شما:
- یک روتر مجازی در ESXi ایجاد کرده اید
- یک سابنت داخلی امن ساخته اید
- رنج IP مدیریت شده دارید
- NAT فعال کرده اید
- فایروال حرفه ای تنظیم کرده اید
- ESXi را پشت روتر قرار داده اید
- دسترسی ها را محدود کرده اید
این ساختار یکی از حرفه ای ترین روش های افزایش امنیت ماشین های مجازی در ESXi است که در دیتاسنتر های پیشرفته استفاده می شود.
سایر مطالب مشابه »