DoS-Angriffe: Hash-Kollisionen können Webserver lahmlegen

Durch Hash-Kollisionen können Webserver lahmgelegt werden. Betroffen sind fast alle Webserver etwa mit PHP, ASP.Net und Java. Die Kollisionen können durch POST-Abfragen ausgelöst werden.

Die beiden Entwickler Alexander Klink und Julian Wälde haben eine Schwachstelle beschrieben, die in fast allen Webservern ausgenutzt werden kann: Durch das Auslösen von Hash-Kollisionen kann die CPU-Last von Webservern über lange Zeit auf bis zu 99 Prozent erhöht werden. Betroffen sind mehr oder weniger alle modernen Webserver, denn der softwareseitige Fehler ist in den meisten populären Skriptsprachen enthalten, darunter PHP, ASP.Net und Java oder das Javascript-basierte v8 von Google.

Klink und Wälde haben sich inzwischen an die einzelnen Entwickler gewandt. Einige haben bereits Patches für die Schwachstelle bereitgestellt. Angriffe über die Schwachstelle sind noch nicht beobachtet worden. Allerdings kann sie leicht ausgenutzt werden. Durch einen entsprechenden POST-Befehl können Hashtable-Abfragen mit bewusst ausgelösten Kollisionen erfolgen.

CPU auslasten durch Kollisionen

PHP 5 verwendet beispielsweise die Hash-Funktion DJBX33A von Dan Bernstein, um POST-Daten zu verarbeiten. Diese Funktion kann so manipuliert werden, dass sie mehrfache Kollisionen auslöst. Die Abfragegröße über POST ist auf 8 MByte begrenzt und beschäftigt damit eine iCore-7-CPU für etwa vier Stunden. Allerdings ist die Abfrage durch max_input_time begrenzt, unter Ubuntu und BSD Server standardmäßig auf 60 Sekunden. Die 60 Sekunden reichen aus, um etwa 500 KByte an Daten zu übertragen. Die CPU-Last wird ebenfalls mit max_execution_time auf 30 Sekunden begrenzt. Um eine CPU für 30 Sekunden auszulasten, werden 300 KByte an Daten benötigt. Theoretisch benötigt ein Angreifer etwa 70 bis 100 KBit/s für eine komplette Auslastung einer CPU. Mit einer GBit-Verbindung können demnach 10.000 Core-i7-CPUs beschäftigt werden.

ASP.Net nutzt die Hash-Funktion DJBX33X, die ebenfalls von Dan Bernstein stammt. Hier ist die CPU-Zeit normalerweise auf 90 Sekunden begrenzt. Mit einer GBit-Verbindung können hier 30.000 Core-Duo-CPUs beschäftigt werden. Auch verschiedene Java-basierte Webserver sind betroffen, darunter Tomcat, Glassfish oder Jetty, wobei die Größenbegrenzung der POST-Abfrage variiert. Durchschnittlich beträgt sie 2 MByte.

Die Lösung: Hash-Funktion randomisieren

Die beiden Entwickler raten, die Hash-Funktion zu randomisieren. Als Workaround empfehlen sie, die POST-Abfragen zu reduzieren und die CPU-Limits zu senken.

Zahlreiche Hersteller haben bereits reagiert. Für ASP.net bietet Microsoft einen Patch an. Auch die PHP-Entwickler haben den Patch max_input_vars in Version 5.4.0 RC4 eingebaut. Für Tomcat gibt es ebenfalls einen Workaround, für Glassfish steht er noch aus. Für Python wurde ebenfalls noch kein Patch bereitgestellt, was vor allem für den Webserver Plone von Bedeutung ist. Ruby erhielt ebenfalls einen entsprechenden Patch. Perl-Entwickler haben das Problem bereits 2003 erkannt.

Nachtrag vom 29. Dezember 2011, 8:31 Uhr

Microsoft hat einen Patch für ASP.Net zusätzlich zu seinen monatlichen Patchdays angekündigt. Dieser soll im Laufe des 29. Dezember 2011 erscheinen. Nutzer von PHP können ihre Systeme mit Suhosin absichern, das die Einstellung des Parameters suhosin.{post|request}.max_vars enthält.

Ganz allgemein lässt sich das Problem durch Begrenzung der CPU-Zeit reduzieren, was unter PHP mit der Option "max_input_time" und im IIS für ASP.Net über den Parameter "shutdown time limit for processes" möglich ist. Wer nicht drauf angewiesen ist, große Datenmengen hochzuladen, kann zudem die maximale Größe von POST-Request auf wenige KByte beschränken.

Daily iPad app: OneNote for the iPad

After years of developing mobile tools for its own platform, Microsoft has finally released a series of apps for the iPad including Lync, OneNote and Kinectimals. Hands down, the most anticipated of the bunch is OneNote, Microsoft's popular desktop app for taking and organizing notes. It's the premier solution for the desktop, but, unfortunately, it falls short on the Apple tablet.

The app pulls OneNote documents down from SkyDrive and lets you both view and edit the documents on your iPad. Unfortunately, most of the document formatting is not available on the iPad. I had some beautiful OneNote documents with colorful text, tags, tables and different-sized fonts. You can see an example document below and compare it to the iPad version above. When I viewed the documents on the iPad, tags were missing, and all the text appeared in a small, bland, black font. Even worse, tables were formatted as images and not editable.

Creating new OneNote documents is also very limited on the iPad. You can't create new notebooks or pages; you're only allowed to add new notes. Notebook security is also an issue as you can't view notes or add notes to a notebook that has a password.

Overall, OneNote for the iPad is disappointing. I was hoping for additional editing options and better support for some of the basic attributes of a document. It's not like these features can't be edited on a mobile device. Microsoft's Windows Phone operating system supports OneNote document editing and it gives you excellent access to most of the document properties.

If you only need an app to view plain OneNote documents, you may want to download and try OneNote for the iPad. It's free and it does let you view simple documents. Syncing on the iPad also works well, and changes were uploaded almost immediately. Reliable syncing, though, doesn't make up for an app that's only half as capable as it should be. If you want to try OneNote for the iPad, you can grab it for free from the iOS App Store.



GSM-Hacking: Osmocom-Patch entdeckt Stille SMS und Abhöraktionen

Mit Catcher Catcher haben Karsten Nohl und Luca Melette eine Software vorgestellt, die Abhör- oder Ortungsversuche entdecken kann. Vor allem die mittlerweile für Kriminelle bezahlbare Angriffshardware soll damit weniger schädlich sein.

Karsten Nohl und Luca Melette gefällt es nicht, dass sich Sicherheitslücken in Mobilfunknetzen so einfach ausnutzen lassen. Sie wollen den Anwendern Werkzeuge an die Hand geben, die es möglich machen herauszufinden, ob ein anderer versucht, Schwachstellen im Netz gegen einen selbst auszunutzen, um ihn etwa zu orten.

Von diesen Methoden wird mittlerweile großflächig Gebrauch gemacht, so dass die Frage von vielen Hackern im Raum steht, ob das Ausnutzen von Sicherheitslücken noch verhältnismäßig ist. Erst kürzlich kam heraus, dass die Ortung per stiller Kurznachricht rund 1,7 Millionen Mal in den vergangenen 5 Jahren in Deutschland durch Behörden durchgeführt wurde. Zudem werden IMSI-Catcher seit Jahren verwendet. Durch immer günstiger werdende Komponenten sind diese technischen Hilfsmittel nun auch für Kriminelle bezahlbar geworden, so Nohl. Zudem nannte er auch Industriespionage als mögliches Einsatzgebiet. Nebenbei deutete Nohl noch an, dass die Journalisten des Skandalblattes News of the World wohl großen Gefallen an den Techniken gehabt hätten, da so ein flächendeckendes Absuchen nach Boulevardnachrichten möglich wäre.

Die Software mit dem Namen Catcher Catcher soll helfen und sowohl IMSI-Catcher als auch Stille SMS entdecken. Mit stillen Nachrichten wurde auch ein Test vor dem Publikum erfolgreich durchgeführt. Mit IMSI-Catchern fehlt aber noch der Test in praktischer Umgebung. Nohl und Melette gelang es nicht, sich eines dieser Geräte auszuleihen.

In der Theorie zeigt die Software den Status über sogenannte Flags an. Ist alles in Ordnung, wird das Flag auf Grün gesetzt. Erste Verdachtsmomente, wie beispielsweise eine stille Nachricht, setzen den Status auf Gelb. Rot ist ein starker Verdachtsmoment und Schwarz bedeutet "Schmeiß dein Handy weg und renne!".

Catcher Catcher gibt es zurzeit nur als Patch für OsmocomBB in Form einer Diff-Datei. Das Projekt selbst ist noch nicht fertig. Eigentlich wäre das Projekt nicht notwendig, da auch Netzbetreiber in der Lage wären, die Nutzung beispielsweise von IMSI-Catchern zu entdecken. Laut Nohl scheuen sie sich jedoch davor, den Strafermittlungsbehörden im Weg zu stehen.

Weitere Informationen zum Catcher-Catcher-Projekt gibt es auf der Open-Source-Seite der SR Labs.

Video – Troubleshooting a vNetwork Distributed Switch

A vNetwork Distributed Switch (vDS) functions as a single virtual switch across all associated hosts. This enables you to set network configurations that span across all member hosts, and allows virtual machines to maintain consistent network configuration as they migrate across multiple hosts.

In this video I'll show you how to troubleshoot and configure vNetwork Distributed Switch Network Adapters. The vNetwork Distributed Switch networking view of the host configuration page displays the configuration of the host’s associated vNetwork Distributed Switches and allows you to configure the vNetwork Distributed Switch network adapters and uplink ports.

For each host associated with a vNetwork Distributed Switch, you must assign physical network adapters, or uplinks, to the vNetwork Distributed Switch. You can assign one uplink on each host per uplink port on the vNetwork Distributed Switch.

New vSphere5 feature: Virtual Machine disks consolidation is needed

22 December, 2011

Ever had it happen in your environment? Committing a snapshot on a VM fails and you can’t get your VM to boot again because there are disks missing. This could happen because when initiating Delete or DeleteAll snapshots, the snapshot details are deleted from Snapshot Manager, then the snapshot files are consolidated and merged to another snapshot file or to the virtual machine parent disk. If the consolidation fails, there were no snapshots shown in the Snapshot Manager, but the snapshot files were still being used on the datastore. This can cause the datastore to run out of space.

Unfortunately today this happened for me too, but it has been the first time this happened in a vSphere 5 environment. And therefore it was also the first time I noticed a new feature in VMware vSphere 5 / vCenter 5: “consolidate snapshots”. When a VM has snaphots present on the datastore but they don’t seem to be linked to the VM anymore, vSphere 5 will detect this and report an error on the summary tab: “Virtual machine disks consolidation is needed”.

I quickly found there is a new option now under the snapshot menu. Right click the VM, select Snapshot and select the new option “Consolidate”. Now vSphere will start a new consolidation.

A great new option that probably can save quite some work for vSphere admins. See these KB’s for more info:

Unfortunately in my case, this didn’t work and I immediately got a general I/O error, even though the datastore had enough space left. I eventually had to revert to my last Veeam backup because that was more recent that going back in time to the day the snapshot was made.

VMware releases vCenter Chargeback Manager v2

by Patrick Redknap on December 6, 2011

vCenter Chargeback Manager is an end-to-end cost reporting solution for virtual environments that are using VMware vSphere. vCenter Chargeback Manager provides functionality to define unit costs and calculate the overall costs based on the actual usage or reservation of computing resources. This Web-based application interacts with the vCenter Server Database to retrieve usage information, calculates the cost by using the defined chargeback formulas, and generates cost and usage reports.

vCenter Chargeback Manager runs on an Apache Tomcat server instance. Users interact with vCenter Chargeback Manager through a load balancer (Apache HTTP Server). vCenter Chargeback Manager connects to the vCenter Chargeback Manager database that stores application-specific information, such as the defined chargeback hierarchies, cost models, users, roles, and so on. The application interacts with the vCenter Server using VIM APIs and with the vCenter Server database through a data collector. The data collector communicates with the vCenter Server Database using JDBC.

vCenter Chargeback Manager 2.0 new features include:

  • Automatic Report Scheduler
  • Different methods to charge thin and thick provisioned virtual machines
  • Cost variance and cost optimization
  • “Showback” Reporting
  • The ability to difine fixed costs based on virtual machine state
  • Tier-based storage costing
  • Support for raw device mapping
  • Complete support for vSphere 5.0 and vCloud Director 1.5
  • Partial support for IPv6
  • VM Instance Cost support for all hierarchies in vCenter Chargeback Manager
  • Support for burstable billing or 95th percentile billing for the external network traffic in vCloud Director
  • Support for overage charging for org vDCs in the Allocation Pool model of vCloud Director
  • New cost models and billing policies for vCloud Director

2.0.1 release now available!

pfSense 2.0.1 release is now available. This is a maintenance release with some bug and security fixes since 2.0 release. This is the recommended release for all installations. As always, you can upgrade from any previous release to 2.0.1, so if you haven’t upgraded to 2.0 yet, just upgrade straight to 2.0.1. For those who use the built in certificate manager, pay close attention to the notes below on a potential security issue with those certificates.

The following changes were made since 2.0 release.

  • Improved accuracy of automated state killing in various cases (#1421)
  • Various fixes and improvements to relayd
    • Added to Status > Services and widget
    • Added ability to kill relayd when restarting (#1913)
    • Added DNS load balancing
    • Moved relayd logs to their own tab
    • Fixed default SMTP monitor syntax and other send/expect syntax
  • Fixed path to FreeBSD packages repo for 8.1
  • Various fixes to syslog:
    • Fixed syslogd killing/restarting to improve handling on some systems that were seeing GUI hangs resetting logs
    • Added more options for remote syslog server areas
    • Fixed handling of ‘everything’ checkbox
    • Moved wireless to its own log file and tab
  • Removed/silenced some irrelevant log entries
  • Fixed various typos
  • Fixes for RRD upgrade/migration and backup (#1758)
  • Prevent users from applying NAT to CARP which would break CARP in various ways (#1954)
  • Fixed policy route negation for VPN networks (#1950)
  • Fixed “Bypass firewall rules for traffic on the same interface” (#1950)
  • Fixed VoIP rules produced by the traffic shaper wizard (#1948)
  • Fixed uname display in System Info widget (#1960)
  • Fixed LDAP custom port handling
  • Fixed Status > Gateways to show RTT and loss like the widget
  • Improved certificate handling in OpenVPN to restrict certificate chaining to a specified depth – CVE-2011-4197
  • Improved certificate generation to specify/enforce type of certificate (CA, Server, Client) – CVE-2011-4197
  • Clarified text of serial field when importing a CA (#2031)
  • Fixed MTU setting on upgrade from 1.2.3, now upgrades properly as MSS adjustment (#1886)
  • Fixed Captive Portal MAC passthrough rules (#1976)
  • Added tab under Diagnostics > States to view/clear the source tracking table if sticky is enabled
  • Fixed CARP status widget to properly show “disabled” status.
  • Fixed end time of custom timespan RRD graphs (#1990)
  • Fixed situation where certain NICs would constantly cycle link with MAC spoofing and DHCP (#1572)
  • Fixed OpenVPN ordering of client/server IPs in Client-Specific Override entries (#2004)
  • Fixed handling of OpenVPN client bandwidth limit option
  • Fixed handling of LDAP certificates (#2018, #1052, #1927)
  • Enforce validity of RRD graph style
  • Fixed crash/panic handling so it will do textdumps and reboot for all, and not drop to a db> prompt.
  • Fixed handling of hostnames in DHCP that start with a number (#2020)
  • Fixed saving of multiple dynamic gateways (#1993)
  • Fixed handling of routing with unmonitored gateways
  • Fixed Firewall > Shaper, By Queues view
  • Fixed handling of spd.conf with no phase 2?s defined
  • Fixed synchronization of various sections that were leaving the last item on the slave (IPsec phase 1, Aliases, VIPs, etc)
  • Fixed use of quick on internal DHCP rules so DHCP traffic is allowed properly (#2041)
  • Updated ISC DHCP server to 4.2.3 (#1888) – this fixes a denial of service vulnerability in dhcpd.
  • Added patch to mpd to allow multiple PPPoE connections with the same remote gateway
  • Lowered size of CF images to again fix on newer and ever-shrinking CF cards.
  • Clarified text for media selection (#1910)

Notes for certificate generation vulnerability

Certificates generated with the built-in certificate manager in all 2.0 versions prior to 2.0.1 are excessively permissive for non-CA certificates. These certificates can be used as a certificate authority, meaning a user can use their own certificate to create chained certificates. We have defaulted OpenVPN on 2.0.1 and newer versions to not accept chained certificates, which mitigates this. However, if untrusted users have certificates generated from 2.0 release, we suggest re-generating all your certificates and issuing new ones. Certificates generated by easy-rsa and imported into 2.0 are not affected.

If using certificates generated on pfSense for other purposes, you should revoke those and issue new certificates generated on 2.0.1. You must utilize a CRL in that case. To be on the safe side, you may want to start from scratch with a new CA and certificates after deleting all your existing ones if this applies to you.

Thanks to Florent Daigniere for bringing this issue to our attention and helping confirm our resolution.

Upgrade considerations

It is very important to read the upgrade guide before performing an upgrade for those still on 1.2.x versions.

Download

Files for new installs available here on the mirrors.

NOTE: With 2.0 release and newer versions, we’re now also building the oft-requested nanobsd embedded version with VGA! You’ll find alternate builds with VGA in the filename, which are the VGA-enabled versions. Only use these on hardware with VGA video. The regular serial version must be used on all hardware that has only a serial port, like the popular PC Engines and Soekris models amongst others, as they will not boot or function correctly otherwise.

Update files for upgrades available here on the mirrors.

Questions

Please take questions to the forum or mailing list only, where far more people will see them.

Goodbye GNOME 2, Hello GNOME 2?

Many Linux users who have been GNOME fans for years find themselves in a sudden quandary. GNOME 3.0 has completely abandoned the desktop experience we've come to love during the years. That's not to say change is bad, it's just that many folks (even Linus Torvalds) don't really want to change.

As an Ubuntu user for several years, I'm accustomed to how well Canonical makes Linux on the desktop "just work". Unfortunately, Ubuntu's alternative to the GNOME 3 switch is Unity. I want to like Unity. I've forced myself to use it to see if it might grow on me after a while. It hasn't. And, to make matters worse, version 11.10 won't have a classic GNOME option, which means I either need to bite the bullet and get used to Unity or go with an alternative.

Thankfully, XFCE has all the features I love about GNOME. No, XFCE isn't exactly like GNOME, but it feels more like GNOME 2 than GNOME 3 does! If you are like me and desperately want to have the old GNOME interface you know and love, I recommend checking out Xubuntu (the version of Ubuntu that uses XFCE). With minimal tweaking, it can look and feel like GNOME 2. Plus, XFCE has the ability to start GNOME (or KDE) services on login, which means GNOME-native apps usually "just work".

The time may come when we're forced to adopt a new desktop model. For the time being, however, alternatives like XFCE or even LDXE offer familiar and highly functional desktop experiences. If you fear GNOME 3 and Unity, try XFCE. Download Xubuntu and check it out: http://www.xubuntu.org.

LHC: Wissenschaftler finden erste Hinweise auf Higgs-Teilchen

Für die Teilchenphysiker ist schon heute Weihnachten: Am LHC sind erste Hinweise auf das Higgs-Boson gefunden worden. Der Teilchenbeschleuniger bei Genf ist unter anderem gebaut worden, um dieses Teilchen experimentell nachzuweisen.

Es war einer der wichtigsten Gründe für den Bau des Large Hadron Collider (LHC): das Higgs-Teilchen oder Higgs Boson, das mit dem Teilchenbeschleuniger gefunden werden soll. Am heutigen Dienstag haben die Forscher der Experimente Atlas und Compact Muon Solenoid (CMS) bekanntgegeben, dass sie erstmals Hinweise auf das Teilchen entdeckt haben. Es könnten aber keine endgültigen Aussagen darüber getroffen werden, ob das schwer zu fassende Teilchen existiere oder nicht, resümierte das europäische Kernforschungszentrum Cern.

Auf einer Veranstaltung in Genf präsentierten die Teams der beiden Experimente ihre Auswertungen der Teilchenkollisionen aus dem Jahr 2011. Beide Detektoren suchen unabhängig voneinander nach dem Higgs-Boson in den Zerfallsmustern der Kollisionen. Im Jahr 2011 gab es im LHC rund 350 Billionen Teilchenkollisionen.

Hinweise bei 126 GeV

Das Team vom Atlas-Experiment habe das Higgs-Boson auf eine Masse zwischen 116 und 130 Gigaelektronenvolt (GeV) eingeschränkt. Sie hätten interessante Hinweise im Bereich von 126 GeV gefunden, erklärte Fabiola Gianotti, Sprecherin des Experiments. CMS-Sprecher Guido Tonelli berichtete, an seinem Experiment seien vielversprechende Ereignisse im Bereich zwischen 115 und 127 GeV entdeckt worden. Den Bereich von 141 bis 476 Gigaelektronenvolt (GeV), in dem es vorher vermutet worden war, hatten die Cern-Forscher bereits zu einem früheren Zeitpunkt ausgeschlossen.

Die Daten reichten jedoch noch nicht aus, um von einer Entdeckung des Higgs-Teilchens sprechen zu können. Die Ergebnisse hätten eine statistische Sicherheit von 2,3 Sigma, sagte Gianotti. Ein Ergebnis von 3 Sigma habe aber nur eine geringe Aussagekraft, heißt es auf der Website des Large Hadron Collider beauty (LHCb). "Wirklich interessant werden Ereignisse ab einem Level von Sigma 4. Ab einem Sigma-5-Level gilt es als eine neue Entdeckung". Der LHCb ist ein weiteres Experiment des Teilchenbeschleunigers bei Genf.

Optimismus für 2012

Die Atlas- ebenso wie die CMS-Wissenschaftler sind optimistisch, dass sie im kommenden Jahr entscheidende Fortschritte bei der Suche nach dem Higgs-Teilchen machen werden. Mit einer vierfachen Menge an Daten, wie sie 2011 erzeugt wurden, könnte das Higgs-Teilchen eindeutig bewiesen oder ausgeschlossen werden, sagte Gianotti. Mit Ergebnissen rechnet das Cern aber erst Ende 2012.

Das Higgs-Teilchen oder Higgs-Boson gilt als das fehlende Teilchen im gegenwärtigen Standardmodell. Es soll erklären, woher die Elementarteilchen ihre Masse bekommen. Der inzwischen emeritierte britische Physiker David Miller hat die Wirkungsweise des Teilchens einmal mit dem Auftauchen eines Prominenten auf einer Party verglichen, für sein Beispiel zog der die damalige britische Premierministerin Margaret Thatcher heran - der Vergleich stammt aus dem Jahr 1993.

Nur Thatcher geht

Bevor Thatcher eintrifft, stehen die Gäste gleichmäßig über den Raum verteilt. In dem Moment, wo die Politikerin den Raum betritt, umlagern sie die anderen Gäste und Fotografen. Durch das Gedränge wird ihre Bewegung verlangsamt - sie bekommt Masse. Die Traube bewegt sich mit, wenn Thatcher weiter durch den Raum geht. Auf den ersten Blick. Auf den zweiten hingegen zeigt sich, dass sich die Menschen nur kurz zu ihr hin und dann wieder von ihr weg auf ihren alten Platz zurückgehen. Die einzige, die den Raum wirklich durchquert, ist Thatcher.

Ginge sie allein durch den Raum, wäre es einfach, sie anzurempeln und so ihre Bewegungsrichtung zu verändern oder ihre Geschwindigkeit durch Anschubsen oder Ziehen zu verändern. Durch die Menschentraube, die sich um sie bildet, ist es hingegen deutlich schwieriger, ihre Bewegung zu verändern oder, falls sie dennoch gestoppt wurde, wieder zu beschleunigen.

Theoretisch vorhergesagt

Bisher wurde die Existenz des Teilchens nur theoretisch vom schottischen Physiker Peter Higgs in den 60er Jahren des vergangenen Jahrhunderts vorhergesagt. Am LHC soll es nun experimentell nachgewiesen werden. Dieser Nachweis ist eines der wichtigsten Ziele des über 7 Milliarden Euro teuren Teilchenbeschleunigers.

Obwohl die Teams von Atlas und CMS zum Stillschweigen über die Ergebnisse verpflichtet waren, sickerten schon vorab Gerüchte über mögliche Higgs-Sichtungen durch.

Myth – Resource Pools should always be used to categorize and allocate resources to VMs

You can use folders to group objects of the same type for easier management. For example, you can use folders to set permissions on a group of objects, to set alarms on a group of objects, or to organize objects in a meaningful way. A folder can contain other folders, or a group of objects of the same type. For example, a single folder can contain virtual machines and another folder containing virtual machines, but it cannot contain hosts and a folder containing virtual machines.

Resource pools allow you to delegate control over resources of a host (or a cluster), but the benefits are evident when you use resource pools to compartmentalize all resources in a cluster. Create multiple resource pools as direct children of the host or cluster and configure them. You can then delegate control over the resource pools
to other individuals or organizations.

In vSphere, the inventory is a collection of virtual and physical objects on which you can place permissions, monitor tasks and events, and set alarms. You can group most inventory objects by using folders to more easily manage them.