Hands-on Labs de VMware - HOL-1803-02-NET


Descripción del laboratorio: HOL-1803-02-NET: VMware NSX: Cortafuegos distribuido y microsegmentación

Orientación sobre el laboratorio


Nota: Le llevará más de 90 minutos completar este laboratorio. Probablemente solo podrá acabar entre 2 y 3 módulos durante ese tiempo.  Los módulos son independientes unos de otros, de modo que puede empezar por el principio de cualquiera de los módulos y continuar desde allí. Puede acceder a los módulos desde el índice.

Se puede acceder al índice desde la esquina superior derecha del manual del laboratorio.

En este laboratorio estudiaremos casos de uso relacionados con VMware NSX y la microsegmentación, además de realizar análisis detallados sobre el cortafuegos distribuido y la interfaz de usuario de Service Composer.  Los casos de uso incluyen soluciones sobre la agrupación de redes segmentadas, la agrupación inteligente de servidores y la seguridad basada en usuarios.

Lista de los módulos del laboratorio:

 Director del laboratorio:

  • Módulo 1: Chris Cousins, ingeniero sénior de sistemas, EE. UU.
  • Módulo 2: Chris Cousins, ingeniero sénior de sistemas, EE. UU.
  • Módulo 3: Chris Cousins, ingeniero sénior de sistemas, EE. UU.
  • Módulo 4: Chris Cousins, ingeniero sénior de sistemas, EE. UU.

 

Este manual del laboratorio se puede descargar desde el sitio de documentos de laboratorios prácticos que se encuentra en el siguiente enlace:

http://docs.hol.vmware.com

Este laboratorio también está disponible en otros idiomas.  Para cambiar la preferencia de idioma y disponer de un manual localizado del laboratorio, puede usar este documento que le orientará durante el proceso:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

Ubicación de la consola principal

 

  1. La zona enmarcada en color rojo es la consola principal.  El manual del laboratorio está en la pestaña a la derecha de la consola principal.
  2. Un laboratorio en particular puede disponer de consolas adicionales que se encuentran en pestañas separadas en la parte superior izquierda de la pantalla. En caso de ser necesario, se le indicará que abra otra consola específica.
  3. El laboratorio empieza con el temporizador marcando 90 minutos.  El laboratorio no se puede guardar.  Debe llevar a cabo todo el ejercicio durante la sesión de laboratorio.  Sin embargo, puede hacer clic en EXTEND para ampliar el tiempo restante.  Si está en un evento de VMware, podrá ampliar el tiempo dos veces, hasta 30 minutos.  Con cada clic recibirá 15 minutos adicionales.  Fuera de los eventos de VMware, podrá ampliar el tiempo del laboratorio hasta 9 horas y 30 minutos. Con cada clic recibirá una hora adicional.

 

 

Métodos alternativos para introducir datos desde el teclado

Durante el módulo, introducirá texto en la consola principal. Además de escribir el texto directamente, existen dos métodos muy útiles para introducir datos que facilitan en gran medida la entrada de datos complejos.

 

 

Hacer clic y arrastrar el contenido del manual práctico hasta la ventana activa de la consola

 
 

También puede hacer clic y arrastrar texto y comandos de la interfaz de línea de comandos (CLI) directamente desde el manual del laboratorio hasta la ventana activa de la consola principal.  

 

 

Acceso al teclado internacional en línea

 

También puede utilizar el teclado internacional en línea que se encuentra en la consola principal.

  1. Haga clic en el icono del teclado que aparece en la barra de tareas de inicio rápido de Windows.

 

 

Marca de agua o petición de activación

 

Cuando abra el laboratorio por primera vez, es probable que aparezca una marca de agua en el escritorio que indica que Windows no está activado.  

Una de las principales ventajas de la virtualización es que las máquinas virtuales pueden moverse y ejecutarse en cualquier plataforma.  Los laboratorios prácticos aprovechan esta ventaja, por lo que podemos ejecutar los laboratorios en múltiples centros de datos.  Sin embargo, puede ser que estos centros de datos no tengan procesadores idénticos, lo que genera una verificación de activación de Microsoft a través de Internet.

No dude de que VMware y los laboratorios prácticos cumplen todos los requisitos de licencia de Microsoft.  El laboratorio que está utilizando es un módulo independiente y no tiene un acceso total a Internet, lo cual es necesario para que Windows pueda verificar la activación.  Sin un acceso total a Internet, este proceso automatizado falla y se muestra esta marca de agua.

Este problema superficial no afecta al laboratorio.  

 

 

Mire la parte inferior derecha de la pantalla

 

Compruebe que el laboratorio haya finalizado todas las rutinas de arranque y que esté listo para empezar. Si no ve «Ready» en la pantalla, espere unos minutos.  Si han pasado 5 minutos y el laboratorio no muestra «Ready», solicite ayuda.

 

Módulo 1: Descripción de Service Composer y del cortafuegos distribuido (45 minutos)

Descripción del cortafuegos distribuido y la microsegmentación


El cortafuegos distribuido (DFW) de NSX es un cortafuegos integrado en el núcleo del hipervisor que proporciona visibilidad y control de las redes y las cargas de trabajo virtualizadas. Permite crear políticas de control de acceso basadas en objetos de VMware vCenter como centros de datos, clústeres y nombres de máquinas virtuales; estructuras de red como direcciones IP o conjuntos de IP, VLAN (grupos de puerto DVS), VXLAN (conmutadores lógicos), grupos de seguridad, así como identidades de grupos de usuarios de Active Directory. Las reglas del cortafuegos se aplican en el nivel de la tarjeta de interfaz de la red virtual (vNIC) de cada máquina virtual para proporcionar un control de acceso coherente incluso cuando se utiliza vMotion. El hecho de que el cortafuegos esté integrado en el hipervisor proporciona un rendimiento cercano a la velocidad de línea permitiendo una mayor consolidación de la carga de trabajo en los servidores físicos. La naturaleza distribuida del cortafuegos ofrece una arquitectura de escalabilidad horizontal que amplía automáticamente la capacidad del cortafuegos cuando se añaden más hosts a un centro de datos.

La microsegmentación se hace efectiva gracias al componente del cortafuegos distribuido (DFW) de NSX. El cortafuegos distribuido se ejecuta en la capa del núcleo del hipervisor ESXi y procesa los paquetes a una velocidad cercana a la velocidad de línea. Cada máquina virtual tiene sus propias reglas del cortafuegos y contexto. La movilidad de la carga de trabajo (vMotion) es totalmente compatible con el cortafuegos distribuido. Durante la migración, las conexiones activas quedan intactas. Esta función de seguridad avanzada logra que la red del centro de datos sea más segura, pues aísla cada grupo relacionado de máquinas virtuales en un segmento de red lógica distinto, lo que permite al administrador proteger el tráfico de un segmento a otro del centro de datos (tráfico este-oeste). De este modo se limita la capacidad de los atacantes para desplazarse lateralmente por el centro de datos.  

El esquema de este módulo es el siguiente:

Características básicas del cortafuegos distribuido 

Mecanismo mejorado de detección de IP para la función del cortafuegos

Aplicación lógica de la seguridad gracias a Service Composer

Inicie el módulo desde el escritorio. El escritorio es el servidor de seguridad del centro de control en el entorno virtual. Desde este escritorio, podrá acceder a vCenter Server Appliance, implementado en el centro de datos virtual.

Nota especial: En el escritorio encontrará un archivo con el nombre README.txt  que contiene las cuentas de usuario y las contraseñas utilizadas en todos los dispositivos y máquinas virtuales del laboratorio.


 

Nota para el usuario acerca de la sección Cortafuegos distribuido y microsegmentación

Si ha llevado a cabo el laboratorio práctico HOL-1803-01-NET, Módulo 6: Cortafuegos distribuido, es importante que sepa que esta sección denominada Cortafuegos distribuido es una repetición de dicho módulo, por lo que no es necesario que siga con este laboratorio.  Si quiere omitir esta sección y continuar con la siguiente sección del laboratorio, puede pulsar sobre el enlace que aparece a continuación.

Haga clic aquí para omitir el módulo Mecanismo mejorado de detección de IP para máquinas virtuales y SpoofGuard

 

 

 

Métodos alternativos para introducir datos desde el teclado

Durante el módulo, introducirá texto en la consola principal. Además de escribir el texto directamente, existen dos métodos muy útiles para introducir datos que facilitan en gran medida la entrada de datos complejos.

 

 

Acceso a vSphere Web Client

 

  1. Abra el vSphere Web Client mediante el icono de Google Chrome del escritorio.

 

 

Configuración de reglas para el acceso a aplicaciones web

Ahora configurará el acceso del cortafuegos distribuido a una aplicación de 3 niveles. La aplicación tiene dos servidores web: un servidor de bases de datos y uno de aplicaciones. También dispone de un equilibrador de carga que respalda los dos servidores web.

 

 

Creación de grupos de seguridad de 3 niveles

 

  1. Haga clic en Service Composer.

Service Composer define un nuevo modelo de consumo de servicios de redes y seguridad en entornos virtuales y de la cloud. Las políticas se pueden ejecutar mediante una simple visualización y el consumo de servicios que se integran o mejoran mediante soluciones de terceros. Estas mismas políticas pueden utilizarse repetidamente con las funciones de exportación e importación, lo que podría facilitar la implementación y recuperación de un entorno cuando surge un problema. Uno de esos objetos que se puede utilizar repetidamente es el grupo de seguridad.  Abordaremos Service Composer y los grupos de seguridad en profundidad en otro módulo denominado «Descripción de Service Composer y del cortafuegos distribuido».

 

 

Creación de reglas de acceso de 3 niveles

 

A continuación, añadirá reglas nuevas para permitir el acceso a la máquina virtual web y, luego, configurará el acceso entre los niveles.  

  1. En el menú de la izquierda, seleccione Firewall.

 

 

Reinicio de la sesión Putty en web-01a

 

  1. Haga clic en el icono de sesión en la esquina superior izquierda.
  2. Haga clic en Restart Session.

 

 

Topología después de añadir reglas del cortafuegos distribuido en la aplicación de 3 niveles

 

En este diagrama se muestra el punto de cumplimiento relativo del cortafuegos en el nivel de la vNIC.  Aunque el cortafuegos distribuido es un módulo cargable del núcleo (KLM) del host de vSphere ESXi, las reglas se cumplen en la vNIC de la máquina virtual invitada.  Esta protección se mueve con la máquina virtual durante la vMotion para proporcionar protección total en todo momento, lo que impide la aparición de una «ventana de oportunidad» para atacar a la máquina virtual.

 

 

Limpieza del módulo

 

Deberá establecer la regla predeterminada de nuevo en Allow para continuar con el siguiente módulo.

  1. Vuelva a cambiar la entrada del campo Action de la regla predeterminada a Allow.
  2. Haga clic en Publish Changes.

 

Mecanismo mejorado de detección de IP para máquinas virtuales y SpoofGuard


Después de sincronizarse con vCenter Server, NSX Manager recopila las direcciones IP de todas las máquinas virtuales invitadas en vCenter. Si la seguridad de una máquina virtual se ve comprometida, la dirección IP se podría suplantar y las transmisiones maliciosas podrían eludir las políticas de cortafuegos.

Debe crear una política de SpoofGuard para redes específicas que le permita autorizar las direcciones IP registradas y modificarlas en caso necesario para evitar suplantaciones. SpoofGuard confía de forma inherente en las direcciones MAC de las máquinas virtuales recopiladas de los archivos VMX y del SDK de vSphere. Si no sigue las reglas del cortafuegos, puede usar SpoofGuard para bloquear el tráfico que se sabe que suplanta identidades.

SpoofGuard es compatible con direcciones IPv4 e IPv6. Al usar IPv4, la política de SpoofGuard es compatible con una dirección IP única asignada a una vNIC. IPv6 es compatible con varias direcciones IP asignadas a una vNIC. La política de SpoofGuard supervisa y gestiona las direcciones IP que registran las máquinas virtuales de uno de los siguientes modos:

Este modo permite que todo el tráfico procedente de sus máquinas virtuales pase, a la vez que diseña una tabla de asignaciones de direcciones IP a la vNIC. Puede revisar la tabla cuando lo desee y realizar cambios en las direcciones IP. De este modo se aprueban de forma automática todas las direcciones de IPv4 y de IPv6 en una vNIC.

De este modo se bloquea todo el tráfico hasta que se apruebe cada asignación de dirección IP a la vNIC.

Nota: SpoofGuard permite realizar solicitudes DHCP sin importar el modo habilitado. Sin embargo, si se encuentra en el modo de inspección manual, el tráfico no pasa hasta que se haya aprobado la dirección de IP asignada por DHCP.

SpoofGuard incluye una política predeterminada generada por el sistema que se aplica a los grupos de puertos y a las redes lógicas que no cuentan con el respaldo de las otras políticas de SpoofGuard. Una red que se acaba de añadir se agrega de manera automática a la política predeterminada hasta que el administrador agregue la red a una política existente o hasta que cree una política nueva para la red.

Para que el cortafuegos distribuido de NSX funcione, se requiere la detección de direcciones IP de objetos especificadas como origen o destino.  Antes de NSX 6.2, esto lo realizaba VMtools dentro de la máquina virtual. En este ejercicio se muestra cómo detectar direcciones IP con VMtools y Trust-On-First-Use.


 

Revisión de la configuración de SpoofGuard

 

Haga clic en la pestaña del navegador de vSphere Web Client.

  1. Haga clic en el icono Home.
  2. Haga clic en Networking & Security.

 

 

Visualización de SpoofGuard

 

  1. Haga clic en SpoofGuard bajo Navigator.

 

 

Habilitación de la detección de direcciones IP mediante ARP Snooping

 

  1. Haga clic en Change.

 

 

Migración de Linux-01a desde vDS a un conmutador lógico nuevo

En primer lugar, hay que migrar la máquina virtual linux-01a desde el vDS existente a un conmutador lógico para aprovechar las funciones de la detección de IP de SpoofGuard.

 

 

Vuelta a la opción Networking & Security

 

  1. Bajo Navigator, haga clic en el botón Back del campo de historial hasta llegar de nuevo a la interfaz de configuración de NSX.

 

 

Comprobación de que Linux-01a se ha detectado mediante ARP Snooping

 

  1. Seleccione SpoofGuard en el menú Navigator.
  2. Haga clic en Default Policy.
  3. Seleccione Active Virtual NICs bajo la flecha desplegable del campo View.
  4. Escriba lin y pulse Intro para filtrar por linux-01a.

Observe que el campo Source muestra TOFUARP (Trust On First Use ARP) para la dirección IP 192.168.120.115.

 

 

Resumen de SpoofGuard

Aquí termina la sección sobre el mecanismo mejorado de detección de IP para máquinas virtuales y SpoofGuard.  Ha migrado correctamente una máquina virtual al entorno de NSX y ha utilizado SpoofGuard para saber la dirección IP de la máquina virtual con la nueva función Trust-On-First-Use ARP.

 

Descripción de los grupos de seguridad


Ahora utilizaremos las funciones del grupo de seguridad descritas en la sección "Descripción del cortafuegos distribuido y la microsegmentación".  Los grupos de seguridad de NSX permiten agrupar y definir de forma lógica los activos que se quiere proteger. Los grupos de seguridad pueden ser estáticos (incluidas máquinas virtuales específicas) o dinámicos, donde la pertenencia se puede determinar de las siguientes formas:

Tenga en cuenta que la pertenencia al grupo de seguridad cambia de forma constante. Por ejemplo, una máquina virtual con la etiqueta AntiVirus.virusFound, se mueve al grupo de seguridad de cuarentena. Una vez eliminado el virus, la etiqueta se retira de la máquina virtual y esta sale del grupo de seguridad de cuarentena.


 

Acceso a Service Composer

 

  1. Haga clic en Service Composer en el panel de la izquierda.

 

 

Visualización de la pertenencia

 

  1. Haga clic en el número de la columna Virtual Machines vinculada al nuevo Web Security Group.

Nota: Debería aparecer un 6 en la columna Virtual Machines del Web Security Group, incluidas todas las máquinas virtuales que incluyen «WEB» en su nombre, sin importar si se utilizan mayúsculas o minúsculas, o las redes IP.

  1. Haga clic en la X de la esquina superior derecha del cuadro de diálogo para cerrarlo.

 

Descripción de la política de seguridad


Las políticas de seguridad de NSX pueden ser un grupo de las configuraciones del servicio, reglas del cortafuegos, servicios de puntos de acceso y servicios de introspección de la red siguientes.  Las reglas del cortafuegos pueden ser reglas que definen el tráfico permitido hacia, desde o dentro del grupo de seguridad.  Los servicios de punto de acceso se pueden implementar mediante servicios de proveedores de soluciones de terceros como servicios de gestión de vulnerabilidades o antivirus. Los servicios de introspección de red son servicios que monitorizan la red como, por ejemplo, IPS.

Durante la implementación del servicio en NSX, el proveedor de terceros selecciona la categoría para el servicio que se está implementando. Se crea un perfil de servicio predeterminado para cada plantilla de proveedor.

Nota: Si dispone de muchos grupos de seguridad a los que debe vincular la misma política de seguridad, cree un grupo de seguridad amplio que incluya todos estos grupos de seguridad secundarios y aplique la política de seguridad común al grupo de seguridad amplio. De esta manera se asegurará de que el cortafuegos distribuido de NSX utiliza la memoria del host ESXi de forma eficiente.


 

Creación de una política de seguridad nueva

 

  1. Seleccione la pestaña Security Policies del panel Service Composer.
  2. Haga clic en el icono para crear una política de seguridad.
  3. Escriba Block Web-to-Web Traffic en el campo Name.
  4. Haga clic en Firewall Rules en el panel izquierdo.

 

 

Verificación de la sincronización con la regla del cortafuegos

 

  1. Haga clic en Firewall.

 

 

Prueba de conectividad de la máquina virtual web a la máquina virtual web a través de Putty

 

A continuación, probaremos la comunicación y el acceso entre las máquinas virtuales web que componen la aplicación de 3 niveles. La primera prueba consistirá en abrir una consola para web-01a y enviar pings a web-02a.

  1. Haga clic en el acceso directo de PuTTY en la barra de tareas del escritorio.
  2. Seleccione web-01a.corp.local.
  3. Haga clic en Open.

 

Revisión de la pestaña «Canvas» de Service Composer


Service Composer ofrece una vista de todos los grupos de seguridad (lienzo) dentro del NSX Manager seleccionado. La vista también muestra información detallada como, por ejemplo, los miembros de cada grupo de seguridad y la política de seguridad que se aplica a cada miembro.

En este tema se presenta Service Composer mediante un recorrido por un sistema parcialmente configurado, de tal forma que se puedan visualizar las asignaciones entre los grupos de seguridad y los objetos de política de seguridad de forma general en la vista.


 

Vista gráfica de la pestaña «Canvas» de Service Composer

 

 

  1. Haga clic en Service Composer.
  2. Haga clic en Canvas.

Todos los grupos de seguridad presentes en el NSX Manager seleccionado, que no formen parte de otro grupo de seguridad, se muestran junto con las políticas que se les aplican. El cuadro desplegable de NSX Manager enumera todos los NSX Manager donde el usuario registrado actualmente tiene una función asignada.

Cada rectángulo del lienzo representa un grupo de seguridad, y los iconos dentro de los rectángulos representan los miembros del grupo de seguridad y la información detallada sobre la política de seguridad asignada al grupo de seguridad.

 

 

Conclusión del módulo 1


Aquí finaliza el módulo 1 sobre Service Composer y el cortafuegos distribuido.  Ha creado grupos de seguridad estáticos y dinámicos, ha aplicado políticas de seguridad estáticas y dinámicas, incluidas las reglas del cortafuegos, y ha utilizado SpoofGuard para descubrir y permitir el acceso a la red a aquellas máquinas virtuales que no ejecutan VMTools.


 

Limpieza del módulo 1

 

Antes de finalizar con el módulo 1, deberá eliminar la regla creada en dicha sección.

  1. Navegue de nuevo hasta Service Composer.
  2. Seleccione la pestaña Security Policies.
  3. Haga clic con el botón derecho del ratón sobre la fila Block Web-to-Web Traffic.
  4. Seleccione la opción Delete. Responda a la pregunta «Remove security policy?» haciendo clic en Yes.

 

 

Ha finalizado el módulo 1.

Enhorabuena, ha completado el módulo 1.

Si quiere información adicional sobre las funciones y la configuración de enrutamiento de NSX, consulte el Centro de documentación NSX 6.3 en la dirección URL siguiente:

Continúe con cualquiera de los siguientes módulos:

Lista de los módulos del laboratorio:

Director del laboratorio:

 

 

Cómo finalizar el laboratorio

 

Para finalizar el laboratorio, haga clic en el botón END.  

 

Módulo 2: Guía sobre la función de agrupación de una aplicación de 3 niveles (15 minutos)

Protección de las arquitecturas agrupadas con la función del cortafuegos distribuido de NSX


En este módulo estudiará cómo la función del cortafuegos distribuido (DFW) de NSX permite a los clientes agrupar las arquitecturas de red tradicionales de múltiples niveles en redes planas individuales, mientras mantiene las aplicaciones aisladas al mismo tiempo.  Esto es básico para alejarse de una estrategia de seguridad basada en la red y pasar a una estrategia basada en la carga de trabajo. En este módulo va a utilizar dos aplicaciones distintas (Recursos Humanos y Finanzas), ubicadas en el mismo conmutador lógico y en la misma subred.   

A continuación, configurará y realizará lo siguiente:

En cuanto haya finalizado este módulo de laboratorio, habrá demostrado que el cortafuegos distribuido de NSX protege y aísla una aplicación de la otra, todo ello sin interrumpir la comunicación normal dentro de las aplicaciones en la misma infraestructura de red.  


 

Revisión de un ejemplo de arquitectura de red

 

Antes de agrupar una red de una aplicación de 3 niveles en una única red, vamos a ver un ejemplo de una aplicación de 3 niveles segmentada en subredes de red individuales para proporcionar aislamiento de la capa 3 entre los niveles de la web, la aplicación y la base de datos.  Es importante apuntar que no se aplican las reglas del cortafuegos de seguridad que protegen la comunicación entre las máquinas virtuales que residen en el mismo dominio de la capa 2 ni entre niveles de la aplicación.  Cuando las organizaciones empiezan a escalar horizontalmente estas cargas de trabajo de múltiples niveles, la opción es implementar más subredes o implementar componentes de la aplicación (por ejemplo, bases de datos de diferentes aplicaciones) en el mismo dominio de la capa 2.  

Por ejemplo, una organización puede tener los componentes de la base de datos para múltiples aplicaciones que residen en la red del nivel de base de datos.  Con cortafuegos tradicionales no existe protección entre dichas bases de datos.  Esto podría provocar que alguien con acceso a una máquina de base de datos pudiera acceder a otra base de datos de la misma red.  El cortafuegos distribuido de NSX permite a las organizaciones agrupar toda la estructura de la red en un único segmento de la capa 2, y proporcionar funciones dentro de la aplicación a la vez que aísla la aplicación dentro de la propia aplicación.

 

 

Acceso a vSphere Web Client

 

  1. Haga clic en el acceso directo de Google Chrome en la ventana de la consola principal.

 

 

Comprobación de que la aplicación de Finanzas funciona

 

  1. Abra una pestaña nueva en Chrome.
  2. Haga clic en el marcador Finance DB App.

Compruebe que está accediendo a la Financial Department Cost Centers Database.  Debería recibir datos de fin-web-01a.

 

 

Validación de la aplicación de Recursos Humanos

 

  1. Abra una pestaña nueva en Chrome.
  2. Haga clic en el marcador HR DB App.

Compruebe que accede a la HR Employee Salary Database.

 

 

Lanzamiento de una consola remota en la máquina virtual fin-web-01a

 

  1. Haga clic en la pestaña de vSphere Web Client.
  2. Haga clic en fin-web-01a.corp.local.
  3. Haga clic en la pestaña Summary.
  4. Haga clic en el icono de engranaje y en Launch Remote Console.

 

 

Vuelta a la sesión de vSphere Web Client

 

  1. Haga clic en el icono del navegador de vSphere Web Client en la barra de tareas.

 

 

Vuelta a vSphere Web Client

 

  1. Haga clic en el icono del navegador de vSphere Web Client en la barra de tareas.

 

 

Acceso a la configuración del cortafuegos

 

  1. Haga clic en Firewall en el menú Navigator de la izquierda.

 

 

Creación del grupo de seguridad de la aplicación de Recursos Humanos

 

  1. En el menú desplegable Object Type, seleccione Security Group.
  2. Para definir un grupo de seguridad de la aplicación de Recursos Humanos, haga clic en New Security Group.

 

 

Creación del grupo de seguridad de la aplicación de Finanzas

 

  1. En el menú desplegable Object Type, seleccione Security Group.
  2. Para definir un grupo de seguridad de la aplicación de Finanzas, haga clic en New Security Group.

 

 

Adición de una regla del cortafuegos nueva

 

  1. Haga clic en el icono del signo de suma de color verde a la derecha del título de la sección Collapsed App Tier Rules para añadir una regla nueva.

 

 

Publicación de los cambios

 

  1. Haga clic en Publish Changes para implementar las nuevas reglas del cortafuegos en las máquinas virtuales y hosts correspondientes.

 

 

Comprobación de que la aplicación de Finanzas funciona

 

  1. Haga clic en la pestaña HOL- Finance Department.
  2. Haga clic en el botón para actualizar.

Compruebe que está accediendo a la Financial Department Cost Centers Database.

 

 

Validación de la aplicación de Recursos Humanos

 

  1. Haga clic en la pestaña HOL - HR Department.
  2. Haga clic en el botón para actualizar.

Compruebe que accede a la HR Employee Salary Database.

 

 

Limpieza del laboratorio antes de continuar con el siguiente módulo del laboratorio

 

Antes de continuar con el siguiente módulo, debemos limpiar las reglas del cortafuegos.    

  1. Haga clic en la pestaña del navegador de vSphere Web Client.

 

Conclusión del módulo 2


Aquí concluye el Módulo 2, una guía sobre el aislamiento de aplicaciones con el cortafuegos distribuido de NSX en una única red plana.  En este módulo, hemos visto que agrupar una aplicación de red de 3 niveles en un único conmutador lógico de NSX no afecta a la seguridad de "confianza cero" que proporciona NSX a través del cortafuegos distribuido.  Hemos empezado el laboratorio comprobando la comunicación entre las máquinas virtuales de las aplicaciones de Recursos Humanos y de Finanzas en la misma red.  A continuación, hemos creado reglas del cortafuegos con agrupaciones lógicas de máquinas virtuales para proteger e impedir la comunicación entre las aplicaciones de Recursos Humanos y de Finanzas, y hemos comprobado el funcionamiento de las reglas creadas realizando pruebas de comunicación entre las máquinas virtuales y dentro de pilas de aplicaciones.  Después de comprobar que las aplicaciones estaban aisladas unas de otras, hemos eliminado las reglas del cortafuegos en preparación para otro módulo del laboratorio.

Esperamos que haya disfrutado con este módulo dedicado a las funciones de aislamiento de aplicaciones y de confianza cero del cortafuegos distribuido de NSX.


 

Ha finalizado el módulo 2.

Enhorabuena, ha completado el módulo 2.

Si quiere información adicional sobre las funciones y la configuración de enrutamiento de NSX, consulte el Centro de documentación NSX 6.3 en la dirección URL siguiente:

Continúe con cualquiera de los siguientes módulos:

Lista de los módulos del laboratorio:

Director del laboratorio:

 

 

Cómo finalizar el laboratorio

 

Para finalizar el laboratorio, haga clic en el botón END.  

 

Módulo 3: Agrupación inteligente (30 minutos)

Agrupación inteligente


Módulo 3: Agrupación inteligente


 

Introducción

El fin de soporte (EOS) de la mayoría de plataformas empresariales como Windows XP, Windows 2000 Server y Windows Server 2003 suponen un gran desafío para las organizaciones que utilizan las aplicaciones esenciales necesarias para su rutina empresarial. Por ejemplo, en julio de 2015, cuando Microsoft dejó de dar soporte para Windows 2003, puso en peligro a millones de servidores empresariales.

Las organizaciones que utilizan sistemas operativos con fin de soporte ponen en serio peligro la seguridad de sus entornos, a menos que estén plenamente preparados para migrar a una nueva plataforma o para implementar controles equivalentes. Los hackers saben que los proveedores de plataformas como Microsoft dejarán de reconocer u ofrecer parches para tapar las vulnerabilidades, por lo que dichos sistemas se convierten rápidamente en los objetivos favoritos para los ataques de los hackers. Además, los riesgos de ejecutar una plataforma sin soporte tras el fin del mismo, se incrementan con el paso del tiempo a medida que surgen nuevos problemas y no se resuelven.

NSX puede ayudar a reducir el problema del fin de soporte de los sistemas operativos proporcionando una seguridad adicional a través del cortafuegos distribuido (DFW) y de Service Composer. En este laboratorio, utilizará los grupos de seguridad de NSX para unificar las máquinas virtuales que ejecutan Windows XP, y proporcionará políticas de cortafuegos para protegerlas en un entorno simulado.  

El esquema de este módulo es el siguiente:

Director del laboratorio:

Módulo 3: Chris Cousins, ingeniero sénior de sistemas, EE. UU.

 

 

Inicio de sesión en máquinas virtuales de fin de soporte


Al utilizar máquinas virtuales que ejecutan Windows XP, determinaremos el acceso de seguridad actual a recursos externos e internos.


 

Inicio de sesión en vSphere Web Client

 

Si aún no ha iniciado sesión en vSphere Web Client, haga lo siguiente:

(vSphere Web Client debería aparecer como página de inicio.  Si no es así, haga clic en el icono de la barra de tareas de vSphere Web Client para Google Chrome).

  1. Escriba administrator@vsphere.local en el campo User name.
  2. Escriba VMware1! en el campo Password.
  3. Haga clic en Login.
  1. Si hace clic en las chinchetas, se contraerán los paneles de tareas y tendrá más espacio en el panel principal.  También puede contraer el panel izquierdo para ampliar al máximo el espacio disponible.

 

 

Inicio de sesión en máquinas virtuales con fin de soporte

 

  1. Seleccione el icono Home.
  2. Seleccione VMs and Templates.

 

 

Verificación del acceso interno

 

Inicie el navegador Mozilla desde el escritorio.

  1. Haga clic en el enlace Customer DB-App para iniciar la aplicación interna.

 

 

Apertura del símbolo del sistema para el acceso externo

 

La máquina virtual de la consola de control se encuentra fuera del entorno virtual utilizado en este laboratorio. Por tanto representa un servicio fuera de nuestro entorno. Utilizará la dirección IP del centro de control 192.168.110.10 para representar los servicios de Internet.

  1. Haga clic en el menú Start.
  2. Inicie el símbolo del sistema.

Si el icono del símbolo del sistema no aparece,  haga clic en Run, escriba cmd y pulse Intro para abrir el símbolo del sistema.

 

Creación de grupos de seguridad


Ahora que hemos visto la vulnerabilidad potencial que implica permitir el acceso de las máquinas virtuales con fin de soporte a recursos externos, debemos encontrar la manera de protegerlas. Para ello, va a utilizar grupos de seguridad en NSX que permiten identificar rápidamente las máquinas que ejecutan sistemas operativos con fin de soporte y va a protegerlas aplicando políticas.


 

Creación de un grupo de seguridad

 

  1. Haga clic en la pestaña del navegador de vSphere Web Client.
  2. Haga clic en el icono HOME.
  3. Seleccione Networking & Security.

 

Límite del acceso a la máquina virtual


Ahora va a aplicar reglas para limitar el acceso externo de la máquina virtual.


 

Aplicación de una política

 

Vaya a Service Composer.

  1. Seleccione el grupo de seguridad Windows XP EOS creado anteriormente.
  2. Haga clic en el icono para aplicar una política.

 

 

Configuración de la primera regla del cortafuegos

 

  1. Escriba Access Internal Resources en el campo Name.
  2. Seleccione Allow en el campo Action.
  3. Compruebe que el campo Source muestra Policy's Security Group.
  4. En el campo Destination, haga clic en Change.

 

 

Adición de una regla del cortafuegos adicional

 

Ha creado un grupo de seguridad para permitir que la máquina virtual que ejecuta Windows XP pueda acceder a servicios internos (aplicaciones internas). Sin embargo, todavía hay que añadir una regla adicional para permitir el acceso entre servicios internos, así como modificar la regla del cortafuegos predeterminada para bloquear todo el acceso restante, incluido el acceso externo.

  1. Haga clic en Firewall para acceder a las reglas del cortafuegos.

 

 

Modificación de la regla del cortafuegos predeterminada

 

Para bloquear el tráfico no deseado, incluido el tráfico hacia servicios externos, desde máquinas virtuales que ejecutan Windows XP con fin de soporte, debemos habilitar el bloqueo en la regla del cortafuegos predeterminada. La regla del cortafuegos predeterminada se encuentra en la sección del cortafuegos predeterminada.

  1. Haga clic en la flecha para expandir la sección Default Section Layer3.
  2. Haga clic en el icono del lápiz en la columna Action de la Default Rule.
  3. Seleccione Block en el campo Action.
  4. Haga clic en Save.

 

Verificación del acceso limitado desde máquinas virtuales que ejecutan Windows XP


Ahora ya dispone de reglas para las máquinas virtuales que ejecutan Windows XP con fin de soporte, por lo que ya puede probar el acceso a servicios internos y externos.


 

Reapertura de la consola de win-xp-01a

 

  1. Haga clic en la pestaña del navegador win-xp-01a.

 

 

Comprobación de que el acceso externo está bloqueado

 

  1. Vuelva a abrir el símbolo del sistema en el escritorio de win-xp-01a.
  2. En el símbolo del sistema, escriba ping 192.168.110.10.
  3. Compruebe que el acceso externo al centro de control esté bloqueado.
ping 192.168.110.10

Ahora veremos que win-xp-01a puede acceder a los servicios internos, pero el acceso externo se ha bloqueado por completo de acuerdo con la política del grupo.

 

 

Limpieza del módulo: establecimiento de la regla predeterminada en la opción Allow

 

  1. Expanda la sección Default Section Layer3.
  2. Mueva y haga clic en el icono del lápiz en la columna Action de la Default Rule.
  3. Seleccione Allow en el campo Action.
  4. Haga clic en Save.

 

Conclusión del módulo 3


 Enhorabuena, ha completado el módulo 3.

En este laboratorio hemos aprendido que el uso de la agrupación inteligente permite «contenedorizar» rápidamente sistemas operativos con fin de soporte mediante grupos de seguridad.  En cuanto los grupos de seguridad estén preparados, se pueden usar para crear reglas del cortafuegos que pueden limitar el acceso a, y desde las máquinas virtuales que contiene. Los grupos de seguridad son una herramienta versátil y pueden utilizarse de nuevo para modificar o crear políticas nuevas a medida que cambian los requisitos de seguridad.

Si quiere información adicional sobre las funciones y la configuración de grupos de seguridad de NSX, consulte el Centro de documentación NSX 6.3 en la dirección URL siguiente:

Lista de los módulos del laboratorio:

Director del laboratorio:


 

Cómo finalizar el laboratorio

 

Para finalizar el laboratorio, haga clic en el botón END.  

 

Módulo 4: Seguridad basada en usuarios gracias a un servidor de seguridad (45 minutos)

Seguridad basada en usuarios en un servidor de seguridad


Módulo 4

Seguridad basada en usuarios en un servidor de seguridad


 

Introducción

En este módulo del laboratorio, usted creará reglas del cortafuegos con la función del cortafuegos basado en identidades de NSX. Esta función usa una conexión con Active Directory desde NSX Manager. NSX Manager escanea el registro de eventos del servidor de Active Directory para determinar las credenciales de inicio de sesión y los eventos. Los usuarios que se registran en las máquinas virtuales pueden optar a que dichas máquinas virtuales se asignen directamente a grupos de seguridad en función de sus grupos de Active Directory.  Los grupos de seguridad combinados con las reglas del cortafuegos permiten controlar el acceso en nuestro entorno.

En este laboratorio se utilizan dos grupos de Active Directory distintos con dos usuarios diferentes. El primer usuario es un administrador de red que debería poder obtener cualquier aplicación del entorno. El segundo es un administrador de Recursos Humanos que solo debería tener acceso a una aplicación web de Recursos Humanos.      

 

El esquema de este módulo es el siguiente:

 Director del laboratorio:

Módulo 4: Chris Cousins, ingeniero sénior de sistemas, EE. UU.

 

Visualización del enlace entre NSX y Active Directory


NSX se enlaza con Active Directory para utilizar grupos de Active Directory que proporcionan reglas del cortafuegos basadas en identidades.


 

Lanzamiento del navegador y vSphere Web Client

 

 

 

Visualización del enlace entre NSX y Active Directory

 

  1. Haga clic en el icono Home.
  2. Haga clic en Networking & Security.

 

 

Sincronización con Active Directory

 

  1. Haga clic en la rueda de engranaje doble.
  2. Haga clic en la rueda de engranaje simple para obtener las actualizaciones de Active Directory.  Debería aparecer el estado Success y la fecha actual.

Tenga en cuenta que esto puede tardar entre 2 y 3 minutos en aparecer.

Con una conexión configurada y sincronizada de Active Directory, puede usar los grupos de Active Directory en las políticas de seguridad.

 

Introspección del sistema invitado de NSX


Antes de crear reglas del cortafuegos basadas en identidades (IDFW), hay que configurar la introspección del sistema invitado de NSX.


 

Implementación de la introspección del sistema invitado

 

  1. Haga clic en el icono Home.
  2. Haga clic en Networking & Security.

 

 

Implementaciones de servicios

 

  1. Seleccione Installation.
  2. Seleccione la pestaña Service Deployments.
  3. Haga clic en el icono + para implementar la introspección del sistema invitado.

 

 

Asistente para la implementación de la introspección del sistema invitado

 

  1. Seleccione el servicio Guest Introspection.
  2. Haga clic en Next.

 

  1. Seleccione RegionA01-COMP02.
  2. Haga clic en Next.

 

  1. Deje los valores predeterminados.
  2. Haga clic en Next.

 

 

Inicio de la recopilación de datos

 

  1. Haga clic en Finish.

Espere unos minutos hasta que finalice la instalación y, a continuación, confirme que se ha instalado correctamente en el clúster.

 

 

 

Verificación de la instalación de la introspección del sistema invitado en los hosts

 

  1. Haga clic en el icono Home.
  2. Haga clic en Hosts and Clusters.

 

  1. Expanda la carpeta RegionA01-COMP02.
  2. Compruebe que la máquina virtual Guest Introspection esté operativa y se haya implementado en el host esx-03a.corp.local.
  3. Compruebe que la máquina virtual Guest Introspection tenga asignada una dirección IP.

 

Uso de objetos de seguridad basados en grupos de Active Directory


  1. Los objetos de seguridad se definen en función de su pertenencia al grupo de Active Directory y se utilizan para aplicar una política de seguridad.

 

Creación de un objeto de seguridad basado en grupos de Active Directory

 

  1. Desplace el ratón hasta el botón Home.
  2. Haga clic en Networking & Security.

 

 

Creación de una sección de regla del cortafuegos nueva

 

  1. Haga clic en el enlace Firewall del panel de navegación.
  2. Haga clic en el icono para añadir una sección en la sección Flow Monitoring & Traceflow Rules.

 

 

Adición de la regla Network Admin Access

 

  1. Haga clic en el icono para añadir una regla de la sección de la regla que se acaba de crear.
  2. Haga clic para expandir la sección de la regla que se acaba de crear.
  3. Haga clic en el icono del lápiz en la columna Name para editar la regla nueva.

 

 

Adición de la regla Network Admin Access

 

  1. Haga clic para expandir la sección de la regla basada en Active Directory que acaba de crear.
  2. Haga clic en el icono Add Rule.

 

Definición de reglas del cortafuegos en aplicaciones internas


Las aplicaciones internas de este laboratorio requieren reglas adicionales que permitan la comunicación entre los niveles de la aplicación.


 

Adición de una regla del cortafuegos adicional

 

Hemos creado reglas del cortafuegos basadas en Active Directory para permitir que los administradores de red y de Recursos Humanos puedan acceder a las aplicaciones adecuadas, según la función que tengan. Sin embargo, todavía hay que añadir una regla adicional para permitir el acceso entre servicios internos, así como modificar la regla del cortafuegos predeterminada para bloquear todo el acceso restante, incluido el acceso externo.

  1. Haga clic en Firewall para acceder a las reglas del cortafuegos.

 

 

Modificación de la regla del cortafuegos predeterminada

 

Para bloquear el tráfico no deseado, hay que habilitar el bloqueo en la regla del cortafuegos predeterminada. La regla del cortafuegos predeterminada se encuentra en la sección del cortafuegos predeterminada.

  1. Haga clic en la flecha para expandir la sección Default Section Layer3.
  2. Haga clic en el icono del lápiz en la columna Action de la Default Rule.
  3. Seleccione Block en el campo Action.
  4. Haga clic en Save.

 

Prueba de las reglas basadas en la identidad del usuario


Para probar las reglas que acaba de crear, debemos registrarnos en la máquina virtual win12-jump con unas credenciales de usuario de Active Directory distintas.


 

Prueba de la regla de identidad del usuario

 

Puede probar las nuevas reglas basadas en identidades. Para ello, abra una consola en la máquina virtual del servidor de seguridad (win-12-jump) del dominio e inicie sesión como miembro del grupo AppConfiguration de Active Directory o del grupo Human Resources.  El usuario Netadmin es miembro del grupo AppConfiguration y, por ello, puede iniciar sesión en cualquier nivel de la aplicación o en cualquier aplicación interna.  El usuario HRadmin es miembro del grupo Human Resources y, por ello, puede iniciar sesión en cualquier aplicación web de Recursos Humanos y de Finanzas.  Inicie sesión con ambas identidades y observe los resultados al intentar acceder a múltiples aplicaciones de 3 niveles.

  1. Haga clic en el icono Home.
  2. Haga clic en VMs and Templates.

 

 

Apertura de la consola en el servidor de seguridad

 

Expanda los contenedores RegionA01 y Discovered virtual machines en busca de win12-jump.

  1. Expanda Discovered virtual machines.
  2. Haga clic con el botón derecho del ratón en win12-jump.
  3. Haga clic en Open Console.

 

 

Cambio a otro usuario

 

  1. Haga clic en Send Ctrl-Alt-Delete.
  2. Haga clic en Other user.

 

 

Inicio de sesión como NetAdmin

 

  1. Escriba el nombre de usuario NetAdmin.
  2. Escriba la contraseña VMware1!.  (no olvide incluir el punto «.» después del signo de exclamación «!» )
  3. Haga clic en la flecha.

 

Conclusión del módulo 4


Enhorabuena, ha completado el módulo 4.

En este laboratorio se ha explicado cómo las funciones del cortafuegos basado en identidades dentro de NSX permiten controlar el acceso a las aplicaciones internas.  Hemos creado reglas del cortafuegos basadas en Active Directory para un administrador de red y para un administrador de Recursos Humanos. Estas reglas solo permiten que el administrador de Recursos Humanos se conecte a la aplicación web de Recursos Humanos a través del protocolo HTTP.  Estas reglas también permiten que el administrador de red se conecte a todas las aplicaciones a través de cualquier protocolo.  De este modo, se puede controlar el acceso a las aplicaciones correctas con el nivel de permisos adecuado según las funciones asignadas dentro de la organización.

Si quiere información adicional sobre las funciones y la configuración del cortafuegos basado en identidades de NSX, consulte el Centro de documentación NSX 6.3 en la dirección URL siguiente:

Lista de los módulos del laboratorio:

Director del laboratorio:


 

Cómo finalizar el laboratorio

 

Para finalizar el laboratorio, haga clic en el botón END.  

 

Módulo 5: Application Rule Manager de NSX (30 minutos)

Módulo 5: Application Rule Manager



 

Introducción

Application Rule Manager (ARM) es un nuevo conjunto de herramientas incluido en NSX 6.3. Application Rule Manager utiliza los datos de flujo en tiempo real para planificar la microsegmentación de forma rápida y eficaz, y para implementar modelos de seguridad de confianza cero. Application Rule Manager supone una manera novedosa de proteger tanto las aplicaciones nuevas como las existentes a escalas mayores que las que puede gestionar Log Insight, así como entornos de menor tamaño que los que puede administrar vRealize Network Insight (vRNI).

Application Rule Manager recopila los datos de flujo en tiempo real tanto de entrada y de salida como entre cargas de trabajo de las aplicaciones, lo que permite crear modelos de seguridad basados en las aplicaciones. Application Rule Manager puede supervisar hasta 30 máquinas virtuales por sesión. Además, se pueden ejecutar hasta 5 sesiones de forma simultánea. Application Rule Manager también permite ver los flujos bloqueados y las reglas del cortafuegos que bloquean el tráfico.  

El flujo de trabajo del Application Rule Manager consta de tres etapas:

  1. Selección de las máquinas virtuales que conforman la aplicación y que deben supervisarse. Una vez configuradas, se supervisan todos los flujos de entrada y de salida de un conjunto de tarjetas de interfaz de red virtuales (VNIC) definido en las máquinas virtuales. Puede haber hasta cinco sesiones recopilando flujos simultáneamente.
  2. Fin de la supervisión para generar tablas de flujo. Estos flujos se analizan para conocer la interacción entre las máquinas virtuales. Los flujos se pueden filtrar para limitar los registros de flujos a un conjunto de trabajo reducido.
  3. Uso de tablas de flujo para crear objetos agrupados como grupos de seguridad, conjuntos de IP, servicios, grupos de servicios y reglas del cortafuegos.

Director del laboratorio:

Módulo 5: Chris Cousins, ingeniero sénior de sistemas, EE. UU.

 

Microsegmentación de aplicaciones



 

Inicio del navegador Google Chrome y vSphere Web Client

 

  1. Haga doble clic en el icono de Google Chrome del escritorio.

 

 

Inicio de sesión en vSphere Web Client

 

Si aún no ha iniciado sesión en vSphere Web Client, haga lo siguiente:

(vSphere Web Client debería aparecer como página de inicio. Si no es así, haga clic en el icono de la barra de tareas de vSphere Web Client para Google Chrome).

  1. Escriba administrator@vsphere.local en el campo User name.
  2. Escriba VMware1! en el campo Password.
  3. Haga clic en Login.

 

 

Visualización de Application Rule Manager

 

  1. Seleccione el icono Home.
  2. Seleccione Networking & Security.

 

 

Selección de Flow Monitoring

 

  1. Seleccione Flow Monitoring.

 

 

Inicio de una nueva sesión de la aplicación HR DB

 

  1. Seleccione la pestaña Application Rule Manager.
  2. Haga clic en Start New Session para empezar a recopilar los datos de flujo de la aplicación.

 

 

Selección de las máquinas virtuales de HR_DB_App

 

  1. Escriba HR_DB_App en el campo Session Name.
  2. Seleccione Virtual Machine en el cuadro desplegable Object type.
  3. En el campo de búsqueda, escriba hr.
  4. Seleccione hr-web-01a.corp.local, hr-db-01a.corp.local y hr-app-01a.corp.local.
  5. Haga clic en la flecha que señala hacia la derecha.
  6. Haga clic en OK.

 

 

Creación de algunos flujos de tráfico: ICMP

 

Application Rule Manager está recopilando datos de flujo de tres máquinas virtuales de HR_App. Cuanto más rato dure el proceso de recopilación, más datos habrá para analizar. En este laboratorio dejaremos que recopile datos de flujo durante tres minutos. Para generar datos de flujo, haga lo siguiente:

  1. Abra una sesión de Putty y seleccione hr-web-01a.corp.local.
  2. En la línea de comandos, escriba ping -c 2 172.16.60.12.
  3. Abra el símbolo del sistema en la consola principal.
  4. ping 172.16.60.10
ping -c 2 172.16.60.12
ping 172.16.60.10

 

 

Creación de más flujos de tráfico: HTTPS

 

  1. Abra una pestaña nueva en el navegador Chrome.
  2. Haga clic en el marcador HR DB App.
  3. Actualice la página varias veces.

 

 

Fin de la recopilación de datos

 

Al cabo de tres minutos verá Flows en la consola Flow Monitoring. El número de flujos variará en función de cada laboratorio.

  1. Pasados tres minutos, haga clic en Stop.
  2. Haga clic en Yes para confirmar.

 

 

Revisión de los datos de flujo

 

Aquí podemos ver las IP de origen y de destino, y servicios como HTTP, HTTPS, etc.

 

 

Inicio de una nueva sesión de Finance_DB_App

Antes de analizar los datos recopilados para la aplicación de HR, configuraremos una segunda sesión para la aplicación de Finance con el objetivo de mostrar diferentes sesiones de flujo de datos.

 

 

Inicio de sesión de Finance_DB_App

 

  1. Haga clic en Start New Session.

 

 

Selección de las máquinas virtuales de Finance_App

 

  1. Escriba Finance_DB_App en el campo Session Name.
  2. Seleccione Virtual Machine en el cuadro desplegable Object type.
  3. En el campo de búsqueda, escriba fin.
  4. Seleccione fin-web-01a.corp.local, fin-db-01a.corp.local y fin-app-01a.corp.local.
  5. Haga clic en la flecha que señala hacia la derecha.
  6. Haga clic en OK.

 

 

Recopilación de datos de Finance_App

 

Application Rule Manager está recopilando datos de flujo de tres máquinas virtuales de Finance_App. Cuanto más rato dure el proceso de recopilación, más datos habrá para analizar. En este laboratorio dejaremos que recopile datos de flujo durante tres minutos. Para generar datos de flujo, abra una nueva pestaña del navegador Google Chrome, haga clic en el marcador Finance DB App y actualice la página varias veces. Al cabo de tres minutos verá Flows en la consola Flow Monitoring. El número de flujos variará en función de cada laboratorio.

  1. Haga clic en Stop.
  2. Haga clic en Yes.

 

 

Revisión de las sesiones

 

Puede ver que Application Rule Manager ha recopilado datos de flujo correctamente de las máquinas virtuales HR_DB_App y Finance_DB_App.

 

 

Revisión de los orígenes

 

  1. Haga clic en Source para comprobar qué tarjetas de interfaz de red virtuales se están supervisando.

 

 

Revisión de la duración del flujo

 

  1. Haga clic en Flows para comprobar el tiempo y la duración de la recopilación.

 

 

Inicio del análisis del flujo de Finance_DB_App

 

  1. Haga clic en Analyze para iniciar el análisis de los datos de flujo recopilados.

 

 

Inicio del análisis del flujo de HR_DB_App

 

Una vez completado el análisis de datos de Finance_DB_App:

  1. Seleccione HR_DB_App en el menú desplegable Session.
  2. Haga clic en Analyze.

 

 

Comprobación del análisis de datos

 

  1. Compruebe que Analysis Complete tenga una marca de verificación verde. Esto indica que el análisis de datos ha finalizado correctamente.

 

 

Vista del procesamiento de HR_DB_App

 

Después de analizar y procesar los datos de flujo, NSX ha sustituido las IP por nombres de máquinas virtuales. De este modo es más fácil asignar los flujos entre los objetos.

 

 

Reglas del cortafuegos de HR_DB_App

 

Va a utilizar la información proporcionada por el Application Rule Manager para microsegmentar las máquinas virtuales dentro y entre HR__DB_App y Finance_DB_App. Compruebe si hr-web-01a puede comunicar con hr-db-01a.

  1. Abra una sesión Putty para hr-web-01a.corp.local.
  2. Haga clic en hr-db-01a.corp.local en la columna Destination para recuperar la dirección IP.
  3. Aquí se ve la dirección IP 172.16.60.12 y la información de la tarjeta de interfaz de red virtual.
  4. Haga ping a 172.16.60.12. Debería ver un ping correcto sin pérdida de paquetes.
ping -c 2 172.16.60.12

Acaba de comprobar que la máquina virtual web-01a de HR_DB_App puede comunicar directamente con la máquina virtual db-01a. Obviamente, no es una situación ideal. Ahora configuraremos las reglas del cortafuegos adecuadas para controlar el tráfico entre las máquinas virtuales de tres niveles.

 

 

Reglas de cortafuegos nuevas

 

  1. Seleccione el flujo con los valores Source (192.168.110.10), Destination (hr-web-01a.corp.local) y Service (SSH).
  2. Haga clic en el icono de engranaje.
  3. Seleccione Create Firewall Rule.

 

 

Control Center to HR_Web

 

  1. Name: Control Center to HR_Web
  2. Haga clic en Select a la derecha de Service.

 

 

Selección de servicios

 

  1. Escriba https en el campo de búsqueda.
  2. Seleccione HTTPS.
  3. Haga clic en la flecha que señala hacia la derecha.
  4. Confirme que SSH y HTTPS están seleccionados.
  5. Haga clic en OK.

 

 

Confirmación de la configuración

 

  1. Confirme que la configuración es igual a la de la captura de pantalla y haga clic en OK.

 

 

Configuración de la regla del cortafuegos HR_Web to HR_App

 

  1. Seleccione la fila que incluye hr-app-01a en la columna Destination.
  2. Haga clic en el engranaje Actions y seleccione Create Firewall Rule.

 

 

Regla de cortafuegos nueva: HR_Web to HR_App

 

  1. Name: HR_Web to HR_App
  2. Deje todos los demás valores predeterminados tal cual y haga clic en OK.

 

 

Configuración de la regla del cortafuegos nueva HR_App to HR_DB

 

  1. Seleccione la fila que incluye hr-db-01a en la columna Destination.
  2. Haga clic en el engranaje Actions y seleccione Create Firewall Rule.
  3. NO seleccione la fila que incluye ICMP Echo en la columna Service.

 

 

Regla de cortafuegos nueva: HR_App to HR_DB

 

 

 

Publicación de las reglas del cortafuegos

 

  1. Bajo Flow Details, seleccione la pestaña Firewall Rules. Aquí se pueden ver las reglas del cortafuegos que acaba de crear.
  2. Desde esta vista también se pueden editar y eliminar las reglas del cortafuegos.
  3. Haga clic en Publish.

 

 

Asignación de nombre

 

  1. Escriba HR_DB_App en el campo Section Name.
  2. Seleccione Default Section Layer 3.

 

 

Revisión de la regla del cortafuegos de HR_DB_App

 

  1. En el panel Navigator, seleccione Firewall.

 

 

Regla de cortafuegos de 3 niveles de HR_DB_App

 

Aquí se pueden revisar las reglas del cortafuegos que acaba de configurar en Application Rule Manager. Ahora vamos a realizar una prueba de HR_DB_App para comprobar que la página web sigue funcionando y que se ha bloqueado el tráfico no seguro.

 

 

Edición de la regla del cortafuegos predeterminada

 

  1. Bajo Default Rule, haga clic en el icono del lápiz para editar la regla.
  2. En Action, seleccione Block.
  3. Haga clic en Save.

 

  1. Haga clic en Publish Changes.

 

 

Comprobación de que HR_DB_App funciona

 

Si cerró la pestaña de HOL-HR Department:

  1. Abra una pestaña nueva en el navegador Chrome.
  2. Haga clic en el marcador HR DB App.

Debería ver la HR Employee Salary Database.

 

 

Apertura del símbolo del sistema

 

Vamos a comprobar si se ha podido enviar correctamente el ping a la web, la aplicación y los servidores de bases de datos desde la consola principal:

  1. ping 172.16.60.10
  2. ping 172.16.60.11
  3. ping 172.16.60.12
ping 172.16.60.10
ping 172.16.60.11
ping 172.16.60.12

Ahora se puede ver que el tráfico ICMP está bloqueado y que solo se permite el tráfico HTTPS.

Nota: En este laboratorio, hemos configurado la regla del cortafuegos web-01a para autorizar a SSH, por lo que podemos acceder a la máquina virtual desde Putty para realizar la siguiente prueba.

 

 

Apertura de Putty

 

ping -c 2 172.16.60.12
  1. ping -c 2 172.16.60.12
  2. Pasados unos 10 segundos, escriba Control+C para finalizar.

Ahora se puede ver que el tráfico de web-01a a db-01a está bloqueado.

 

Conclusión del módulo 5


Enhorabuena, ha completado el módulo 5.

Si quiere información adicional sobre las funciones y la configuración del Application Rule Manager de NSX, consulte el Centro de documentación NSX 6.3 en la dirección URL siguiente:

Lista de los módulos del laboratorio:

Director del laboratorio:

  • Módulo 1: Chris Cousins, ingeniero sénior de sistemas, EE. UU.
  • Módulo 2: Chris Cousins, ingeniero sénior de sistemas, EE. UU.
  • Módulo 3: Chris Cousins, ingeniero sénior de sistemas, EE. UU.
  • Módulo 4: Chris Cousins, ingeniero sénior de sistemas, EE. UU.

 

Cómo finalizar el laboratorio

 

Para finalizar el laboratorio, haga clic en el botón END.  

 

Finalización

Gracias por participar en los Hands-on Labs de VMware. No deje de visitar http://hol.vmware.com para continuar con su experiencia de laboratorio en línea.

Código SKU del laboratorio: HOL-1803-02-NET

Versión: 20180417-114857