Blog Agility

Introdução ao VMware NSX (16 de 17)

Introdução ao VMware NSX (16 de 17)

Protegendo o acesso ao servidor web com o NSX

Neste artigo será demonstrada a configuração de terminação SSL no gateway de perímetro configurado no artigo anterior (que também está realizando balanceamento inline para os servidores web do laboratório). Os certificados utilizados serão auto-assinados (self-signed).

Após a criação do certificado, o acesso à pasta “financeiro” dentro do servidor web será protegido para acesso HTTPS a partir de uma única estação de trabalho, demonstrando uma proteção básica que pode ser aplicada ao balanceador inline criado no artigo anterior.

Configuração de terminação SSL no NSX

Para configurar a terminação SSL, clicar em Networking & Security -> NSX Edges, escolher o gateway de perímetro da solução, clicar na aba Settings -> menu Certificates. No botão Actions, escolher a ação Generate CSR:

0213_NSX_SSL_termination

Preencher os dados do certificado e escolher o algoritmo de mensagem e o tamanho da chave de criptografia (para o laboratório, RSA de 2048-bit):

0214_NSX_SSL_termination

A figura a seguir mostra o CSR criado:

0215_NSX_SSL_termination

Selecionar o CSR criado anteriormente e, no menu Actions, selecionar a ação Self Sign Certificate:

0216_NSX_SSL_termination

Preencher o número de dias pelo qual o certificado será válido:

0217_NSX_SSL_termination

A figura mostra o certificado assinado.

0218_NSX_SSL_termination

Proteção do servidor web com regras no balanceado e SSL

Para configurar as regras de segurança pretendidas para a pasta financeiro do servidor web, iremos criar um segundo IP de conexão ao qual será aplicado o certificado SSL e as regras de segurança de acesso.

Clicar em Networking & Security -> NSX Edges, escolher o gateway de perímetro da solução, clicar na aba Settings -> menu Interfaces. Com a interface 10.102.3.42 selecionada  (que está sendo utilizada para o balanceamento inline dos servidores web), clicar no botão do lápis para editar suas propriedades:

0219_NSX_SSL_and_access_rule_for_webserver

Selecionar o IP 10.102.3.42 e clicar no botão do lápis para editar o dado:

0220_NSX_SSL_and_access_rule_for_webserver

Clicar no botão + para adicionar um novo IP para a interface e preencher com 10.102.3.43:

0222_NSX_SSL_and_access_rule_for_webserver

A tela mostra o IP adicional criado. Clicar em OK.

0223_NSX_SSL_and_access_rule_for_webserver

A tela mostra as interfaces do gateway de perímetro. A interface de uplink agora possui dois IPs (10.102.3.42 e 10.102.3.43):

0224_NSX_SSL_and_access_rule_for_webserver

Foi configurado um IP adicional somente para manter o VIP configurada no item anterior. Para os propósitos desse laboratório, o VIP 10.102.3.42 será desabilitado (Load Balancer -> Virtual Servers, selecionar o VIP 10.102.3.42 e desmarcar a caixa Enable):

0224b_NSX_SSL_and_access_rule_for_webserver

Na seção Load Balancer -> Application Profiles, clicar no botão + para adicionar um novo perfil de aplicação:

0225_NSX_SSL_and_access_rule_for_webserver

Criar um nome para o perfil (Advanced-Web-01), marcar HTTPS, desmarcar Enable SSL Passthrough e, na seção Virtual Server Certificates -> Service Certificates, escolher o certificado SSL criado anteriormente:

0226_NSX_SSL_and_access_rule_for_webserver

No menu Pools, clicar no botão + para criar um novo pool de servidores:

0227_NSX_SSL_and_access_rule_for_webserver

Preencher os dados dos servidores web-01 e web-02 (192.168.10.11 e 192.168.10.12 respectivamente) e escolher as portas de serviço e monitoração como 80 (a terminação SSL para esse pool está sendo feita pelo NSX, conforme configurado no perfil de aplicação criado no passo anterior):

0228_NSX_SSL_and_access_rule_for_webserver

A figura a seguir mostra o resumo das configurações do pool. Clicar em OK:

0229_NSX_SSL_and_access_rule_for_webserver

A figura a seguir mostra o novo pool criado.

0230_NSX_SSL_and_access_rule_for_webserver

Na seção Virtual Servers, clicar no botão de + para criar um novo servidor virtual:

0231_NSX_SSL_and_access_rule_for_webserver

Preencher os dados do novo virtual server conforme a figura abaixo, escolhendo o novo pool criado e selecionando o perfil de aplicação criado para utilização do SSL. Porta e protocolo do VS, nesse caso, são 443 e HTTPS pois a terminação SSL ocorrerá nesse VIP:

0232_NSX_SSL_and_access_rule_for_webserver

A figura abaixo mostra o novo VS criado:

0233_NSX_SSL_and_access_rule_for_webserver

No menu Application Rules, clicar no botão + para adicionar novas regras de aplicação:

0235_NSX_SSL_and_access_rule_for_webserver

Criar uma regra chamada “Permitir-acesso-financeiro” que permitirá acesso apenas à máquina de origem 10.102.3.25 (sintaxe na imagem abaixo):

0236_NSX_SSL_and_access_rule_for_webserver

Criar outra regra chamada “Negar-acesso-geral” que vai negar acesso à pasta financeiro a qualquer outro IP (as duas regras serão aplicadas em conjunto):

0237_NSX_SSL_and_access_rule_for_webserver

A figura abaixo mostra as duas regras criadas:

0238_NSX_SSL_and_access_rule_for_webserver

Na seção Virtual Servers, selecionar o segundo web-server criado (virtualServer-2 de IP 10.102.3.43):0239_NSX_SSL_and_access_rule_for_webserver

Na seção Application Rules, clicar no botão + para acrescentar as regras criadas anteriormente:

0240_NSX_SSL_and_access_rule_for_webserver

Selecionar as duas regras e clicar em OK:

0241_NSX_SSL_and_access_rule_for_webserver

A figura abaixo mostra o VS com as duas regras aplicadas (garantir que a regra que permite acesso ao financeiro está como a primeira da lista, senão selecioná-la e clicar no botão mover para cima):

0242_NSX_SSL_and_access_rule_for_webserver

Para testar a demonstração, a figura abaixo mostra o acesso à URL do financeiro através do IP permitido 10.102.3.25:

0243_NSX_SSL_and_access_rule_for_webserver

 

Já através do IP 10.102.3.21 o acesso foi negado ao financeiro, conforme especificado pela regra criada.

0244_NSX_SSL_and_access_rule_for_webserver

Quando se tenta acessar o index do servidor web a partir do IP 10.102.3.21 (somente a página do financeiro está proibida pela regra) o acesso é bem sucedido:

0245_NSX_SSL_and_access_rule_for_webserver

O próximo artigo da série demonstra configurações de NAT e de regras de segurança no firewall lógico de interface do gateway de perímetro. Para acessar o próximo artigo da série, clicar no link NAT e regras do Edge Firewall.

Para acessar o índice dessa série de artigos clique em Introdução ao NSX – Índice

Referências

Este artigo utiliza como referências testes realizados no laboratório do Agility Tech Center e os seguintes documentos da VMware:

  • NSX Installation and Upgrade Guide (NSX 6.0 for vSphere)
  • NSX Administration Guide (NSX 6.0 for vSphere)
  • VMware NSX Network Virtualization Design Guide