ESXi Web Paneli IP Erişim Kısıtlaması: Host Client Sertleştirme Rehberi

ESXi Web Paneline IP Erişim Kısıtlaması: Host Client Sertleştirme Rehberi

VMware ESXi Host Client (HTML5 web arayüzü) port 443 üzerinden çalışır ve varsayılan kurulumda her IP'den gelen bağlantıyı kabul eder. Public IP'li bir hipervizörü internete açık bırakırsanız Shodan veya Censys 24 saat içinde sizi banner kayıtlarına alır; sonrası brute-force, eski CVE'lerin sömürülmesi ve ESXiArgs sınıfı ransomware fırtınalarına davetiyedir. Bu yazı ESXi 7 ve 8 üzerinde Host Client erişimini IP whitelist ile sınırlandırma, Lockdown Mode katmanı, sertifika düzeni, syslog forward ve VPN tabanlı yönetim ağı senaryolarını saha gözüyle anlatıyor.

Buyukweb perspektifi: Buyukweb 17+ yıldır Bursa Tier 3 veri merkezinde VDS, dedicated ve hosting hizmeti veriyor. Nested VDS paketlerimiz (/nested-sunucu) vt-x destekli olduğundan KVM hipervizör üstüne ESXi ISO'sunu kurup test/eğitim/lab amaçlı çalıştırabilirsiniz; production VMware altyapısı için fiziksel dedicated yönü tercih edilir. VDS'lerimiz unmanaged — kurduğunuz ESXi konfigürasyonu, lisansı ve sertleştirilmesi tamamen size aittir. Destek hattı: 0850 302 60 70.

ESXi Yönetim Yüzeyi ve Tehdit Modeli

ESXi'yi yönetmenin başlıca kanalları: Host Client (HTML5 web, TCP 443), vCenter (TCP 443 ayrı sunucu), SSH (TCP 22, default kapalı), DCUI (sunucu konsolu/IPMI, F2 menü), PowerCLI ve REST API (https://host/api/). Her biri ayrı saldırı yüzeyidir.

Public IP'li bir ESXi'de port 443 dünyaya açıksa Shodan banner'ı VMware ESXi 7.0.3 satırını yayar; saldırgan sürümü görür, NVD'de CVE listesini çıkarır, hazır exploit kodunu indirir. CVE-2021-21974 (OpenSLP RCE) 2023 başında tam olarak bu yolla 3.000+ ESXi host'unu ESXiArgs ransomware ile şifreledi. Tipik saldırı vektörleri:

• Internet-wide tarama: Shodan/Censys/ZoomEye botları 443/902/9080 SSL banner toplar.
• Brute-force root: Hydra/Medusa ile dakikada yüzlerce parola denemesi.
• Eski CVE exploit'i: OpenSLP (CVE-2021-21974), CIM (CVE-2020-3992), VMSA-2023-0001 serisi.
• Self-signed sertifika MITM: Tarayıcı uyarısını yok sayan operatör, MITM saldırgana root parolasını teslim eder.
• Ransomware (ESXiArgs/Babuk): Datastore'a yazma yetkisiyle tüm .vmdk dosyalarını şifreler, snapshot'ları siler.

Ortak savunma: erişimi azalt (IP whitelist + VPN), kimliği güçlendir (key auth, vCenter MFA), sürümü güncel tut (VMSA bültenleri), logla ve uyar (syslog + SIEM). ESXi yönetim arayüzü kurumsal politika düzeyinde public internete kapalı olmalı.

Yöntem 1: ESXi Built-in Firewall (En Hızlı Çözüm)

ESXi'nin kendi içinde stateful bir firewall var. Web Client üzerinden Networking → Firewall Rules sekmesine giderek vSphere Web Access (veya benzeri ruleset adı) için "Only allow connections from following networks" seçeneğini işaretleyip CIDR listesi girersiniz. Daha hızlısı SSH üzerinden esxcli:

# 1) Mevcut ruleset'leri listele — hangi service id ne
esxcli network firewall ruleset list
# Cikti: Name | Enabled  ornek: webAccess | true ; sshServer | false

# 2) Bir ruleset'in detayini gor (ornek: webAccess)
esxcli network firewall ruleset rule list --ruleset-id=webAccess
esxcli network firewall ruleset allowedip list --ruleset-id=webAccess

# 3) "Tum IP'lere acik" modunu kapat — sadece allowed list gecerli olsun
esxcli network firewall ruleset set --ruleset-id=webAccess --allowed-all=false

# 4) Izin verilecek IP/CIDR'leri ekle
esxcli network firewall ruleset allowedip add --ruleset-id=webAccess --ip-address=203.0.113.42
esxcli network firewall ruleset allowedip add --ruleset-id=webAccess --ip-address=192.0.2.0/24

# 5) Ruleset'i etkinlestir (zaten aciksa atla)
esxcli network firewall ruleset set --ruleset-id=webAccess --enabled=true

# 6) SSH'i acmak zorundaysaniz ayni mantik (default kapali — ozelinde acik tutmayin)
esxcli network firewall ruleset set --ruleset-id=sshServer --allowed-all=false
esxcli network firewall ruleset allowedip add --ruleset-id=sshServer --ip-address=203.0.113.42

ESXi sürümünüzde web arayüzünün ruleset adı webAccess, vSphereClient ya da custom bir isim olabilir; esxcli network firewall ruleset list çıktısında vSphere Web veya Host Client etiketli olanı arayın.

Dikkat — kendinizi kilitlemek: Yanlış IP girip allowed-all=false yaparsanız hemen kendinizi banlarsınız. Çıkış yolu DCUI (sunucu konsolu, F2): root parolasıyla giriş, Network Restoring Options → Restore Network Settings menüsüyle firewall geri açılır. Buyukweb fiziksel dedicated müşterilerinde IPMI üzerinden DCUI'ya KVM-over-IP ile erişebilirsiniz; sıkıştığınızda 0850 302 60 70 destek hattı 7/24 aranabilir.

Hangi Ruleset'i Kapatayım?

İhtiyaç dışı ruleset'ler ek saldırı yüzeyidir. SLP (CIMSLP), netdump, snmp çoğu kurumda kullanılmıyor; esxcli network firewall ruleset set --ruleset-id=CIMSLP --enabled=false ile devre dışı bırakın. CVE-2021-21974'ün giriş noktası tam olarak SLP idi.

Yöntem 2: Önünde Reverse Proxy + IP Whitelist

ESXi'yi public IP üzerinde değil, Nginx/HAProxy/pfSense reverse proxy arkasında konumlandırmak daha esnektir; IP filtre + Let's Encrypt sertifika + erişim logu birlikte gelir.

# Nginx reverse proxy ornegi: ESXi Host Client onunde
server {
    listen 443 ssl http2;
    server_name esxi.sirketim.local;

    ssl_certificate     /etc/letsencrypt/live/esxi.sirketim.local/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/esxi.sirketim.local/privkey.pem;
    ssl_protocols       TLSv1.3 TLSv1.2;

    # IP whitelist
    allow 203.0.113.42;        # Ofis sabit IP
    allow 192.0.2.0/24;        # VPN ag araligi
    deny  all;

    # WebSocket destegi (vSphere Console icin sart)
    location / {
        proxy_pass         https://10.0.0.50:443;
        proxy_ssl_verify   off;             # ESXi self-signed cert
        proxy_set_header   Host \$host;
        proxy_http_version 1.1;
        proxy_set_header   Upgrade \$http_upgrade;
        proxy_set_header   Connection "upgrade";
        proxy_read_timeout 86400;
    }
    access_log /var/log/nginx/esxi-access.log;
}

Avantajlar: ESXi public IP almıyor, saldırı yüzeyi reverse proxy'ye düşüyor; tarayıcı uyarısız Let's Encrypt; nginx access log SIEM'e beslenir; fail2ban + ModSecurity gibi katmanlar reverse proxy üstünde devreye girer.

Yöntem 3: VPN Üzerinden Yönetim (Önerilen Mimari)

Kurumsal best-practice: ESXi yönetim ağı public internetten ayrı bir VLAN/subnet üzerinde olsun, public IP almasın, sadece VPN'e bağlı operatörler erişsin. WireGuard/OpenVPN ile yönetim VPN'i kurulur; ESXi firewall sadece VPN ağ aralığını allowed list'e alır.

[Operator] --WireGuard tunnel--> [VPN GW: 10.10.0.1]
                                         |
                                  [Yonetim ag 10.10.10.0/24]
                                  +-- ESXi-1 / ESXi-2
                                  +-- vCenter / Bastion

Aynı tünel SSH, vCenter, NFS, iSCSI, IPMI dahil tüm yönetim trafiğini taşır. Buyukweb VPN paketleri (.ovpn) bu yönetim VPN'i için temel altyapı sağlar.

Bastion / jump host: VPN'e ek bir Linux bastion sunucusu eklerseniz operatörler önce bastion'a, oradan iç ağdaki ESXi'ye atlar. Audit (tek nokta log) ve MFA dayatma (bastion'da TOTP) için ideal pattern. ssh -J operator@bastion [email protected] ile tek komut erişim.

Yöntem 4: SSH Tunnel — Geçici Erişim

Düzenli olmayan erişimde reverse proxy/VPN kurmadan tek seferlik tünel:

ssh -L 8443:esxi-host.local:443 admin@bastion-server -N
# Tarayicidan: https://localhost:8443

Windows'ta Bitvise/PuTTY ile aynısı yapılır; detaylı Bitvise SSH SOCKS5 tunnel rehberi altında.

Lockdown Mode: Yönetim Yüzeyini Daraltma

ESXi Lockdown Mode host'a doğrudan bağlantıları kısıtlar:

Mod	Host Client	SSH	DCUI	vCenter
Disabled	Açık	Açıksa açık	Açık	Açık
Normal	Kapalı	Kapalı	Açık	Açık
Strict	Kapalı	Kapalı	Kapalı	Açık

Normal Lockdown'da sadece DCUI ve vCenter çalışır; Strict'te DCUI bile devre dışı — yalnızca vCenter üzerinden yönetim.

Acil durum kapısı: Lockdown + vCenter çökerse ne olur? Exception Users listesi tam bunun için. Host → Configure → Security Profile → Lockdown Mode → "Exception Users" sekmesine eklediğiniz kullanıcı Strict mod'da bile SSH/Host Client erişimine sahip olur. Parolasını kasada tutun, normal yönetimde kullanmayın.

Aktivasyon: Host → Configure → System → Security Profile → Lockdown Mode → Edit. Tek-host stand-alone'da Strict mantıksız (vCenter yok); Normal + IP whitelist yeterli savunma.

Sertifika ve TLS Sıkılaştırması

ESXi default kurulumda self-signed bir sertifika üretir; tarayıcı uyarısı her seferinde gözükür ve operatör "Proceed Anyway" refleksine alışır. Bu refleks MITM saldırgana gümüş tepside servistir.

İki çözüm: (1) Custom CA imzalı sertifika — kurumsal PKI'dan CSR oluşturup CA imzalı sertifikayı /etc/vmware/ssl/rui.crt ve rui.key olarak yerleştirip /etc/init.d/hostd restart ile aktif edin (web UI yolu: Host → Configure → Certificate → Import). (2) vCenter VMCA auto-rotation — vCenter tüm host sertifikalarını otomatik üretir ve süresi dolmadan yeniler.

TLS protokol: ESXi 8.0U2+ TLS 1.3 olgun, TLS 1.0/1.1 default kapalı. ESXi 7'de esxcli system settings advanced set -o /UserVars/ESXiVPsDisabledProtocols -s "tlsv1,tlsv1.1" ile eskileri kapatın. Sertifika expire takibi: aylık cron + openssl s_client çıktısı + 30 gün kalanlara Telegram/Slack alert.

SSH Güvenliği — Açacaksanız Doğru Açın

ESXi'de SSH default kapalı ve kapalı kalmalı. Açmak zorundaysanız: sshServer ruleset'ini sadece bastion IP'sine sınırlayın; ESXi 7.0+ key auth destekler — /etc/ssh/keys-root/authorized_keys dosyasına public key yerleştirip sshd_config içinde PasswordAuthentication no aktifleştirin (reboot'ta config'i /etc/rc.local.d/local.sh üzerinden persist edin); ClientAliveInterval 600 ile idle session'ı 10 dakikada düşürün; SSH log'ları ESXi syslog kanalı üzerinden SIEM'e forward edilir.

Logging, syslog Forward ve SIEM Entegrasyonu

ESXi log'ları default olarak host üzerinde tutulur, host kapanınca veya saldırgan tarafından silinince kaybolur. Merkezi log toplayıcıya forward zorunludur:

# UDP 514 uzerinden remote syslog
esxcli system syslog config set --loghost='udp://siem.sirketim.local:514'

# TLS ile (TCP 6514, onerilen)
esxcli system syslog config set --loghost='ssl://siem.sirketim.local:6514'

# Ayari uygula
esxcli system syslog reload

# Dogrula
esxcli system syslog config get

Karşı tarafta Elastic/Logstash, Wazuh manager veya Splunk indexer dinler; ESXi log'ları failed login, vmkernel uyarısı, firewall blok eventi gibi anahtar kelimeler için alarm verir. Kritik alarm örnekleri: 5+ ardışık root login fail (10 dk), Lockdown Mode değişikliği, firewall ruleset disable, datastore unmount.

ESXi 7 ile ESXi 8 — Güvenlik Tarafı Farklar

Özellik	ESXi 7.0U3	ESXi 8.0U2+
TLS 1.0/1.1	Default off	Tamamen kaldırıldı
SHA-1 sertifika	Uyarı	Reddedilir
Default parola politikası	7+ karakter	15+ karakter, kompleks
Lockdown Mode	Var	Strict + Exception Users gelişmiş
Built-in MFA	Yok	Smart Card + IDP entegrasyon
Secure Boot	Opsiyonel	Strong default

Yeni kuracaksanız doğrudan ESXi 8 hattı mantıklı. Mevcut 7'den 8'e yükseltme planı yapıyorsanız VMSA bültenlerini düzenli takip edin (vmware.com/security/advisories adresi).

Broadcom Dönemi ve Açık Kaynak Alternatifler

Broadcom'un VMware satın alımı (Kasım 2023 kapanış) sonrası vSphere lisans modeli yeniden şekillendi. Free vSphere Hypervisor Şubat 2024'te askıya alındı; durum 2026 itibariyle hâlâ tam netleşmedi. Production VMware artık kurumsal abonelik fiyatlamasında. Maliyet bilinciyle bakan ekipler için açık kaynak alternatifleri: Proxmox VE (KVM + LXC, en olgun web yönetim), XCP-ng (Xen tabanlı, Xen Orchestra UI), oVirt (KVM, RHV alt yapısı) ve KVM/libvirt + Cockpit. Buyukweb Nested VDS (/nested-sunucu) bu dört seçeneğin tamamını ve ESXi'yi test/eğitim amaçlı destekler; production VMware için fiziksel dedicated yönü uygundur.

Ransomware Koruması: ESXiArgs Dersleri

2023 başında ESXiArgs 3.000+ host'u CVE-2021-21974 üzerinden şifreledi; sonraki yıllarda Babuk ve türevleri yayıldı. Beş katmanlı koruma: (1) VMSA bültenlerini 30 gün içinde patch, (2) OpenSLP devre dışı (esxcli system slp set --enabled=false), (3) Lockdown + IP whitelist, (4) immutable off-site backup (Veeam vb.) — snapshot ransomware'e karşı koruma değildir, datastore'a yazma yetkisi olan saldırgan snapshot'ları da siler, (5) backup hedefi yönetim ağından mantıken ayrı, write-once erişimli air-gap.

Güvenlik Checklist — Production'a Almadan Önce

• Host Client (web 443) için IP whitelist aktif
• SSH default kapalı; açıksa whitelist + key auth
• Root parolası 16+ karakter, parola yöneticisinde
• Lockdown Mode Normal (vCenter varsa Strict)
• Exception users listesi tanımlı, parola kasada
• ESXi sürümü en son patch + VMSA takipte
• OpenSLP, CIM SLP gibi gereksiz servisler kapalı
• Custom CA sertifika veya en azından TLS 1.2+
• syslog SIEM'e forward; failed login alarm
• vCenter ile yönetim (>1 host'ta), MFA aktif
• DCUI parolası root'tan farklı
• Immutable off-site backup (Veeam vb.)

Sıkça Sorulan Sorular

ESXi web UI hangi porttan çalışır?

Default TCP 443. Host Client (HTML5) ve eski vSphere Web Client aynı portu paylaşır. Custom port atamak mümkün ama pratik fayda sağlamaz; port whitelist ve TLS yapılandırması daha doğru savunma.

Lockdown Strict moduna alırsam kendimi kilitlemiş olur muyum?

vCenter erişiminiz aktifse hayır — yönetim oradan devam eder. vCenter çökerse Exception Users listesindeki kullanıcı çıkış yolunuzdur. Lockdown aktivasyonundan önce mutlaka bir exception kullanıcı tanımlayın, parolasını kasada tutun.

VPN kullanıyorum, IP whitelist gereksiz mi?

Hayır. Defense-in-depth prensibinde her katman bağımsızdır; VPN gateway ele geçirilirse ESXi firewall'daki ek IP filtresi (sadece bastion + vCenter IP'si) ikinci engel olur.

Self-signed sertifika gerçekten güvensiz mi?

TLS şifreleme açısından güçlü; sorun kimlik doğrulama. CA olmadan host'un gerçekten sizin host'unuz olduğunu kanıtlayan bir bağ yok. MITM saldırgan kendi sertifikasını sunar, tarayıcı uyarısını geçen operatör root parolasını saldırgana yazmış olur. Custom CA veya en azından sertifika fingerprint kontrolü şart.

Buyukweb Nested VDS'de production ESXi koşar mı?

Test, eğitim ve lab senaryolarında evet. Production VMware altyapısı için fiziksel dedicated doğru yön: kendi VMware lisansınız, IPMI, tek tenant. Nested VDS'te nested overhead ve passthrough sınırları mission-critical iş yükü için uygun değil.

Proxmox VE VMware'in alternatifi mi?

KVM tabanlı sanallaştırma (Proxmox, oVirt, XCP-ng) VMware ESXi'nin işlevsel rakibidir. Web yönetim, snapshot, canlı migration ve cluster Proxmox tarafında 2024-2026 döneminde ESXi'ye yakınsadı. Broadcom lisans baskısı altındaki ekipler için pragmatik geçiş yolu oldu. Buyukweb Nested VDS her iki ekosistemi de destekler.

Yanlış IP girip kendimi banlarsam ne yaparım?

DCUI üzerinden çıkış: IPMI / iLO / iDRAC ile sunucu konsoluna bağlanıp F2 → Network Restoring Options → Restore Network Settings menüsünden firewall sıfırlanır. Buyukweb fiziksel dedicated müşterilerinde IPMI standart; sıkıştığınızda 0850 302 60 70 destek hattı 7/24 açık.

Open SLP servisini kapatmak güvenli mi?

SLP modern dağıtık yönetim akışlarında zorunlu değil; CVE-2021-21974'ün giriş noktasıydı. esxcli system slp set --enabled=false ile kapatın. vCenter discovery gibi eski iş akışı kullanıyorsanız önce yedekleyip etkiyi gözlemleyin.

Sonuç

ESXi web paneli güvenliğinin temeli üç katmandır: erişimi azalt (IP whitelist + VPN + Lockdown), kimliği güçlendir (custom CA, key auth, vCenter MFA), görünür kıl (syslog forward, SIEM alarm, VMSA takip). Tek bir esxcli komutu silahınız değil, defense-in-depth pratiği planınız olmalı. Buyukweb Nested VDS paketleri bu pratiği test etmek için vt-x destekli düşük maliyetli bir lab sağlar; production VMware için fiziksel dedicated tarafına bakabilirsiniz. Sorularınız için 0850 302 60 70 numaralı destek hattımız 7/24 açık.

---

İlgili Büyükweb Hizmetleri

ESXi, Proxmox ve sanallaştırma senaryoları için Türkiye lokasyonlu Büyükweb paketleri:

• Nested Sunucu (vt-x destekli, ESXi/Proxmox lab)
• E5-V4 Nested — sanallaştırma için VDS
• E5-V2 Nested — daha ekonomik nested seçenek
• Fiziksel Dedicated Sunucu — IPMI, kendi VMware lisansı
• VPN Paketleri (.ovpn yönetim VPN'i)
• E5-V4 VDS (bastion, reverse proxy host)
• Tüm Paket Karşılaştırma

Sorularınız için 0850 302 60 70 numaralı destek hattımıza veya iletişim sayfamıza yazabilirsiniz.