Master
Reemplazar certificados auto-firmados por defecto y en su lugar colocar certificados de una autoridad certificadora (CA) de confianza.
Parámetro de configuraciónpara reemplazar los certificados por defecto:
1. Poner el host en modo Maintenance.
2. Usar el comando vifs para colocar una copia del certificado y archivos llave en el host ESXi:
vifs --server--username --put rui.crt /host/ssl_cert
vifs --server --username --put rui.key /host/ssl_key
3. Utilice la operación Restart Management Agents a través de la consola directo para que loscambios surtan efecto.
4. Salir del modo Maintenance.
Descripción:
Certificados auto-firmados para la comunicación ESX/ESXi que se encuentran por defecto, no son firmados por una autoridadcertificadora de confianza por lo que deben ser remplazados por los de alguna autoridad certificadora (CA) de confianza.
Justificación:
El uso de certificados por defecto deja las conexiones SSLabiertas a ataques Man-in-The-Middle (MiTM) por lo cual deben ser reemplazados por los certificados de alguna autoridad certificadora (CA) de confianza para mitigar dichos ataques.
Impacto yVulnerabilidad conocida:
• Confidencialidad.
No se identificaron vulnerabilidades relacionadas dentro de los boletines de seguridad proporcionados por el mismo fabricante VMware, esto a la fecha de lageneración de la OSG.
Nivel de severidad:
Alta
Referencia:
VMware vSphere 4.1 Security Hardening Guide.
Pag. 34
ESXi Configuration Guide.
Pag. 174
Título de referencia:
ESX/ESXi Host(Comunicaciones host).
Fecha de Referencia:
Abril 2011
Comentarios y aplicabilidad del control por parte de TI:
2. Navegador de objetos administrados
Deshabilitar el navegador de objetosadministrados.
Parámetro de configuración para deshabilitar el navegador de objetos administrados:
1. Conectarse directamente al host ESX, a través de un KVM remoto, o por medio de una sesión...
Regístrate para leer el documento completo.