Professional Documents
Culture Documents
Retours dexprience
Herv Hosy
Sylvain Pouquet
Client bancaire
Objectifs du client
Une plate-forme hbergeant un ou plusieurs serveurs virtuels
avec VMware ESX (jusqu 1000)
Environnement mutualis multi-clients, multi-mtiers, et multi-
sites
tude demande
Identifier les vulnrabilits potentielles de la future plate-forme
Vrifier l'tanchit des diffrentes instances VMware
Au niveau rseau, mmoire, I/O...
VMware ESX 3
Environnement multi-clients, multi-sites
ESX V3.0.1, Virtual Center, Vmotion
Exemples de menaces
Accs non autoris aux informations contenues dans l'ensemble
de la mmoire vive de la plate-forme
Accs non autoris aux informations contenues sur le disque dur
(fichier d'change, partition ou disque dur allous pour une
instance VMware)
Dni de service li au partage des performances et du temps
processeur entre instances VMware
Accs rseau par dcloisonnement inter-instances VMware et
avec lhte (Guest Isolation)
Intrusion via les systmes d'exploitation des instances VMware
Intrusion via le logiciel VMware (systme hte)
Vulnrabilits possibles
Partage du temps processeur
Cloisonnement des flux rseaux
Infections virales et codes malicieux
Corruption des donnes en mmoire volatile ou physique
Faiblesse de conception de VMware ESX
Confidentialit des donnes
Confidentialit des flux rseaux
Usurpation didentit (exploitant, attaquant)
Rpudiations des actions
Bilan de la mission
Une grande majorit des failles de VMware touchent la Console
de Service (COS) et quelques unes lhyperviseur
Failles dans les modules prsents sur la COS (Red Hat, Kernel
2.4 pour ESX 3.0)
Possibilit de configurer linfrastructure virtuelle VMware ESX de
manire non scurise, du fait du grand nombre doptions
disponibles
Certaines fonctionnalits pouvant avoir un impact pour la
scurit sont peu, voire pas du tout, documentes
CNES
Objectifs du client
Migration denvironnement physique en un environnement
virtualis
Implmentation dune plate-forme VMware ESX 3.5, 3.5i
tude demande
tude amont
Cahier dexigences pour la dfinition dune infrastructure virtuelle
scurise
Cahier de recette pour mettre en uvre la scurit au sein de
linfrastructure virtuelle
Postulat initial
Ltude sappuie sur le postulat suivant :
Le cloisonnement des ressources matrielles mis en uvre par le noyau
vmkernel dESX est robuste et exempt de faille de type vm-escape (sortie
de machine virtuelle)
Exemples
Exigences de scurit logique
ELO9 - Le protocole iSCSI est interdit au sein de linfrastructure Virtual
Infrastructure du CNES
iSCSI est un protocole d'encapsulation servant transporter le protocole
SCSI. La scurit des communications nest pas implmente par dfaut
dans iSCSI ; son utilisation est interdite par dfaut au sein du CNES
R-ELO11
Rappel ELO11 - Les mesures de protection contre lcoute rseau (sniffing) doivent tre actives
exigence sur le virtual switch sur lequel est connect le port de la console de service ainsi que sur le
port de la console de service.
Pr requis Accs distant lhte ESX
Client Virtual Client
Droit Administrateur Virtual Client
Version
Vmware ESX 3.x ESXi 3.x
Ladministrateur se connecte laide du client Virtual Client au serveur Virtual Center qui
gre lhte ESX.
Il choisit le datacenter qui hberge lhte ESX configurer (cf. Figure 10), puis il slectionne
longlet Configuration et enfin lentre Networking dans le panneau Hardware.
Si ce nest pas le cas, il est ncessaire de rentrer dans le vSwitch0 depuis longlet Ports,
puis choisir longlet Security. Enfin, il doit positionner manuellement le paramtre
PROMISCUOUS MODE REJECT
Lopration doit ensuite tre rpte sur lentre service console. Pour cela, ladministrateur
entre dans les proprits de vSwitch0, puis slectionne le Port du service Console. Il choisit
longlet Security et positionne le paramtre PROMISCUOUS REJECT. Un message
davertissement est prsent ladministrateur lorsquil modifie les proprits du Port li au
service console.
Rsultats Les paramtres MAC ADDRESS CHANGES et FORGED TRANSMITS sont positionns
attendus REJECT.
8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 17
Retours dexprience sur le
produit VMware ESX
VMware backdoor
Ncessit pour lhyperviseur ESX de communiquer avec les
instances virtuelles, afin de rcuprer certaines informations
Utilise par VMware avec les VMware Tools
Peu de documentation officielle