Qualche tempo fa ho descritto la necessità di BPDU guardia hypervisor interruttori , e non a caso ha un certo numero di "è lì" tweet secondi dopo vSphere 5.1 (che include BPDU guardia ) è stato lanciato. Rickard Nobel anche fatto un magnifico lavoro di replicare il problema mio post sul blog è la descrizione e la verifica vSphere 5,1 fermate un denial-of-service BPDU attacco .
Immaginate un felice-running semplice rete con due interruttori, due hypervisor e due VM appartenenti alla stessa VLAN:
Ora, per qualche strana ragione l'amministratore VM decide di configurare una (o GRE) tunnel VPN tra le macchine virtuali e consente di collegamento tra l'interfaccia Ethernet e il tunnel da entrambe le macchine virtuali.
Le azioni di questo tipo sono di solito causati da Monte Carlo approccio alla configurazione del dispositivo: provare ogni combinazione di GUI accessibili le caratteristiche fino a quando uno di loro sembra funzionare. Le proprietà Heisenbergian di questo approccio può essere notevolmente migliorata lanciando risultati casuali di ricerca di Google al problema.
A meno che l'amministratore VM riesce a manipolare tutta l'intelligenza integrata nella pila di protocolli VM (e ci sono sempre modi di fare che - vedi DisableSTA nel registro di Windows ), le macchine virtuali configurate come ponti avviare l'invio BPDU attraverso la loro interfaccia fisica, e qualsiasi configurato correttamente interruttore spegne la porta incriminata, impedendo un loop di inoltro ... getti e l'hypervisor host e tutte le sue macchine virtuali come un danno collaterale.
Un inquilino malintenzionato potrebbe infatti approfittare BPDU guardia per un BPDU a base di denial-of-service attack (dettagli nel post del blog Rickard Nobel ), e VMware ha deciso di evitare che mediante l'attuazione di filtro BPDU (Net.BlockGuestBPDU variabile) nel suo switch virtuale. BPDU filtro impedisce sicuramente attacchi DoS ... ma distrugge anche ogni possibilità di individuare mai un loop di inoltro.
Mentre è possibile impedire il bridging indotti cicli d'inoltro con la combinazione di filtro BPDU e rifiutare trasmette forgiati (descritto più in dettaglio nel mio post originale ), si sta ancora evitando i sintomi, non risolvere il problema. Ogni VM facendo ponte non autorizzato deve essere immediatamente scollegato dalla vSwitch - che solo potrebbe indurre il suo amministratore per correggere le impostazioni errate.
Invece, VMware purtroppo ha deciso di andare in fondo alla familiarità mai e poi mai disturbare la VM, facciamo solo finta tutto va bene via (ed è sicuramente più facile da implementare pacchetti di goccia con il valore SNAP 0x010b codice che spegnere l'interfaccia incriminata e registrare l'evento uno ).
Sommario: vSwitch BPDU filtro è un grande passo nella giusta direzione, ma abbiamo ancora bisogno di una soluzione non (BPDU Guard) un cerotto combo. Oh, e mi ha fatto ricordare che né filtro BPDU né rifiutano trasmette forgiati sono abilitate di default?
Nessun commento:
Posta un commento
Nota. Solo i membri di questo blog possono postare un commento.