WWW.ITLAN.INFO - Configuracion_ESX5

tlan.info

Acceso SSH controlado. CONFIGURACIÓN vSphere ESXi 5.5 (IV)

Noviembre 2015 | Luis Ruiz

Configuración (IV)

Continuamos con más configuración para nuestro vSphere ESXi. En el anterior artículo (Configuración III), os comentaba la importancia de tener controlado el acceso para el servicio SSH de nuestro Host por seguridad de nuestro sistema.

A continuación veremos como poder securizar el acceso al Firewall de nuestro Host vía SSH, permitiendo unicamente la entrada a determinadas IPs de nuestra LAN. La configuración la realizaremos desde vSphere Client y vSphere Web Client.

En el laboratorio utilizaremos los siguientes equipos y direcciones IP para realizar la prueba:

172.16.142.100 - vSphere ESXi 5.5
172.16.142.102 - Windows Server 2012 R2
172.16.142.103 - Windows Server 2012 R2

En mi caso, para poder acceder al Host ESXi he utilizado como S.O. Windows Server 2012 R2, pero se puede utilizar cualquier S.O. de Microsoft (también existe versión para Linux).

Para poder acceder nuestro Host ESXi, utilizaremos una herramienta llamada PuTTY, la cual os explico brevemente a continuación (PuTTY en Wikipedia).

¿Que es PuTTY y para qué sirve?

PuTTY es un cliente SSH (Secure Shell) y Telnet con licencia libre, con el cual podemos conectarnos a servidores remotos iniciando sesión en ellos, y una vez dentro ejecutar comandos.

Podéis decargar PuTTY desde el siguiente Link (página oficial).

Descargar PuTTY - Web Oficial

Manual PuTTY versión HTML

Acceso securizado SSH a ESXi vSphere Client

Paso 1: Abrimos nuestro vSphere Client.

Paso 2: Nos posicionamos en nuestro Host (172.16.142.100), hacemos click en la pestaña "Configuration" , grupo "Software" -> "Security Profile" en el apartado "Firewall" , hacemos click en "Properties".

Paso 3: Seleccionamos la etiqueta "Label" -> "SSH Server" y hacemos click en el botón "Firewall".

Observar el recuadro naranja "Service Properties", marcado con un círculo podéis observar la opciones del firewall "Firewall Settings", acceso permitido desde cualquier IP "Allowed IP Addresses - All".

En los siguientes Pasos 4 y 5, vamos a configurar en el Firewall de nuestro ESXi que solo podamos acceder por SSH desde la dirección IP 172.16.142.103.

También seria posible configurar un rango de IP's y una Subred entera, Ipv4 - IPv6. (Paso 4).

Paso 4: Seleccionamos "Only allow connections from the following networks" e introducimos la/s IP's desde las que aceptaremos la conexiones, en nuestro caso "172.16.142.103" y pulsamos el botón "OK".

Paso 5: Una vez introducidos los parámetros de acceso "Paso 4", nos muestra un resumen de nuestra configuración. Conexión "SSH Server por el puerto 22", IP permitida "Allowed IP Addresses 172.16.142.103", pulsamos el botón "OK".

Paso 6: Accedemos a nuestro Windows Server 2012 R2 o el S.O. de Microsoft que dispongáis con el cliente PuTTY descargado.

En el "Paso 6" nos muestra que tenemos configurada la IP de la maquina como "172.16.142.103", que es la conexión permitida en nuestro Firewall para el Servicio SSH.

Paso 7: Ejecutamos PuTTY, introducimos la IP del Host ESXi al que nos queremos conectar, "172.16.142.100", por el puerto "22" y el tipo de conexión "SSH", pulsamos el botón "Open" para conectar.

Paso 8: ! et voilà ! como observais en la ventana de comando hemos conectado con nuestro Host ESXi, habiendo introducido nuestro usuario "root" y password "password de acceso a nuestro ESXi". Una vez accedido comenzaríamos a ejecutar comandos, "exit".

Paso 9: Realizamos el mismo proceso anterior pero esta vez desde otra máquina, con otra IP, en nuestro caso tenemos la "172.16.142.102".

Paso 10: Nos conectamos a nuestro Host ESXi nuevamente "172.16.142.100".

Paso 11: Si hemos seguido los pasos anteriores correctamente podéis ver en la imagen como nos rechaza la conexión de Red por time out "Network error: Connection time out". No coincide la IP configurada en el Firewall de nuestro ESXi con la que accedemos.

Acceso securizado SSH a ESXi vSphere Web Client

Podémos realizar la misma configuración en el Firewall de nuestro ESXi con nuestro cliente vSphere Web Client, para eso tendrémos que tener instalado vCenter Server y vSphere Web Client, laboratorios que realizaremos en posteriores artículos, pero si ya los teneis instalados aquí teneis los pasos de configuración.

Paso 12: Accedemos a nuestro vSphere Web Client mediante IP.

Paso 13: Pantalla principal "Home" y hacemos click en la opción "vCenter".

Paso 14: Seleccionamos la opción "Host and Custer".

Paso 15: Desplegamos el Datacenter y buscamos nuestro Host ESXi, el nuestro se llama "srv-esx01.itlan.info", lo seleccionamos.

Paso 16: En la parte Derecha de nuestra pantalla buscamos la opción "Manage" -> "Settings" -> "Security Profile" y pulsamos el botón "Edit" para realizar la configuración.

Paso 17: Seleccionamos "SSH Server" por el puerto "22" y desmarcamos la opción "Allow connections from any IP address".

Paso 18:Una vez demarcada "Allow connections...." introducimos la IP o IPs desde que permitiremos la conexión a nuestro ESXi vía SSH.

Paso 19: Ya tenemos configurado nuestro Firewall servicio "SSH Server", observar en la parte derecha que la palabra "All" desapareció, en su lugar sale un "-", eso nos indica que está opción se encuentra parametrizada.