Skip to content

Connessioni remote a un host ESXi a prova di firewall

16 maggio 2012

Già in passato ho parlato sulle pagine del blog di un software a mio avviso estremamente interessante per gli amministratori di sistema: NeoRouter.

Oggi, però, voglio descrivere come utilizzarlo per risolvere un problema potenzialmente complesso e con implicazioni non indifferenti sul fronte della sicurezza.

Sto parlando dell’accesso remoto ad un server (host) VMware ESXi 5 per svolgere remotamente attività amministrative su di esso e sulle VM che ospita evitando di recarsi fisicamente presso l’infrastruttura dove è installato (cosa che in tempi di prezzo della benzina ai massimi storici non è da poco…)
 
Configurare l’accesso ad un host ESXi in presenza di router e firewall, infatti, vuol dire aprire le porte TCP 80, 443 e 902 e forwardarle all’IP del server.
Qui nascono i problemi sulla sicurezza poichè tra robots che esplorano la rete e hackers vari, non è difficile imbattersi nell’IP pubblico del server affidando così alla sola robustezza della password di root l’ultimo baluardo di protezione contro accessi indesiderati all’intera infrastruttura (cosa che, inevitabilmente, causa sempre qualche ansia notturna ad ogni System Administrator).
 
E’ vero, ci sono firewall e router che consentono di effettuare un filtraggio a livello di IP remoti concedendo l’accesso solo ad uno o più indirizzi “certicati” (quello, ad esempio, assegnato all’ADSL dell’ufficio dell’ amministratore di sistema) ma queste funzionalità, in  genere, sono riservate ad apparecchi di fascia medio-alta non sempre presenti in ogni infrastruttura.
 
Allora, come risolvere il problema senza chiedere costosi upgrade ai sistemi di protezione e contemporaneamente continuare a fare sogni tranquilli (diciamo, ragionevolmente tranquilli…)?
 
La risposta sta in questo “piccolo” software che anche nella versione completamente free è più che sufficiente al nostro scopo.
 
Non mi dilungherò sulle sue caratteristiche dettagliate – di cui ho già parlato nel post citato all’inizio – ed andrò subito al sodo descrivendo come possiamo usarlo per risolvere il particolare problema di cui ci stiamo occupando.
La cosa è piuttosto semplice:
1) per prima cosa creiamo una macchina virtuale sull’host VMware (basta una semplice VM con Windows XP) sulla quale installeremo il nostro client NeoRouter che, configurato di default come servizio, funziona tranquillamente con la macchina in logoff.
2) installiamo, quindi,  sulla nostra workstation amministrativa il VIclient  di VMware per la gestione dell’host e delle VM.
Et voilà, il giuoco è fatto.
Seduto comodamente nel proprio ufficio, l’ avveduto ‘Amministratore di Sistema si connette alla VM creata ad hoc sul server ESXi  (dopo avere installato il NeoRouter Client anche sulla sua postazione) e da quel momento è come se fosse all’interno della rete dell’organizzazione potendo svolgere tutte le tasks amministrative esattamente come se fosse fisicamente presente.
Tutto questo, senza aprire alcuna porta sui firewall o creare qualunque punto di debolezza ne sistema.
Piccolo trucco:
se avete un ADSL commerciale con limitata banda in upload, potrebbero verificarsi rallentamenti nella gestione delle VM utilizzando direttamente il VI Client, in questo caso basta aprire una semplice connessione di desktop remoto dalla workstation amministrativa alle singole VM ed operare con ragionevoli velocità e senza ritardi.
Si attendono commenti ed osservazioni
Alla prossima…
Annunci
One Comment leave one →
  1. silvano permalink
    31 luglio 2013 12:36 pm

    Cosimo,
    buona intuizione.

    Ciao
    Silvano

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: