A política de segurança de rede fornece proteção do tráfego contra falsificação de identidade de endereço MAC e verificação de porta indesejada

A política de segurança de um switch padrão ou distribuído é implementada na camada 2 (camada de enlace de dados) da pilha de protocolos de rede. Os três elementos da política de segurança são modo promíscuo, alterações de endereço MAC e transmissões forjadas. Consulte a documentação do vSphere Segurança para obter informações sobre possíveis ameaças de rede.

Configurar a política de segurança para um switch vSphere Standard ou um grupo de portas padrão

Para um switch padrão vSphere, você pode configurar a política de segurança para rejeitar o endereço MAC e as alterações de modo promíscuo no sistema operacional convidado de uma máquina virtual. Você pode substituir a política de segurança herdada do comutador padrão em grupos de portas individuais.

Procedimento

  1. No vSphere Client, navegue até o host.
  2. Na guia Configurar (Configure), expanda Rede (Networking) e selecione Switches virtuais (Virtual Switches).
  3. Navegue até a política de segurança para o switch padrão ou o grupo de portas.
    Opção Ação
    vSphere Standard Alternar
    1. Selecione um switch padrão na lista.
    2. Clique em Editar configurações (Edit settings).
    3. Selecione Segurança (Security).
    Grupo de portas padrão
    1. Selecione o switch padrão no qual o grupo de portas reside.
    2. No diagrama de topologia, selecione um grupo de portas padrão.
    3. Clique em Editar configurações (Edit settings).
    4. Selecione Segurança (Security) e selecione Substituir (Override) ao lado das opções a serem substituídas.
  4. Rejeite ou aceite a ativação do modo promíscuo ou as alterações de endereço MAC no sistema operacional convidado das máquinas virtuais conectadas ao comutador padrão ou grupo de portas.
    Opção Descrição
    Modo promíscuo
    • Rejeitar (Reject). O adaptador de rede da VM recebe apenas quadros endereçados à máquina virtual.
    • Aceitar (Accept). O comutador virtual encaminha todos os quadros para a máquina virtual em conformidade com a política de VLAN ativa para a porta à qual o adaptador de rede da VM está conectado.
    Observação: O modo promíscuo é um modo de operação inseguro. Firewalls, scanners de portas e sistemas de detecção de intrusão devem ser executados no modo promíscuo.
    Alterações de endereço MAC
    • Rejeitar (Reject). Se o sistema operacional convidado alterar o endereço MAC efetivo da máquina virtual para um valor diferente do endereço MAC do adaptador de rede da VM, o switch descartará todos os quadros de entrada no adaptador.

      Se o sistema operacional convidado alterar o endereço MAC efetivo da máquina virtual de volta para o endereço MAC do adaptador de rede da VM, a máquina virtual receberá quadros novamente.

    • Aceitar (Accept). Se o sistema operacional convidado alterar o endereço MAC efetivo da máquina virtual para um valor diferente do endereço MAC do adaptador de rede da VM, o comutador permitirá a passagem de quadros para o novo endereço.
    Transmissões forjadas
    • Rejeitar (Reject). O switch descarta qualquer quadro de saída de um adaptador de máquina virtual com um endereço MAC de origem diferente daquele no arquivo de configuração .vmx.
    • Aceitar (Accept). O switch não realiza filtragem e permite todos os quadros de saída.
    Status Ative ou desative o recurso de aprendizado de MAC. O padrão é desativado.
    Permitir inundação unicast Quando um pacote recebido por uma porta tem um endereço MAC de destino desconhecido, o pacote é descartado. Com a inundação de unicast desconhecido habilitada, a porta inunda o tráfego de unicast desconhecido para cada porta no switch que tem o aprendizado de MAC e a inundação de unicast desconhecido habilitados. Essa propriedade é ativada por padrão, se o aprendizado de MAC estiver ativado.
    Limite de MAC O número de endereços MAC que podem ser aprendidos é configurável. O valor máximo é 4096 por porta, que é o padrão.
    Política de limite de MAC A política para quando o limite de MAC é atingido. As opções são:
    • Descartar - Os pacotes de um endereço MAC de origem desconhecida são descartados. Os pacotes de entrada para este endereço MAC serão tratados como unicast desconhecido. A porta receberá os pacotes somente se tiver a inundação unicast desconhecida ativada.
    • Permitir - Os pacotes de um endereço MAC de origem desconhecida são encaminhados, embora o endereço não seja reconhecido. Os pacotes de entrada para este endereço MAC serão tratados como unicast desconhecido. A porta receberá os pacotes somente se tiver a inundação unicast desconhecida ativada.
  5. Clique em OK.

Configurar a política de segurança para um grupo de portas distribuídas ou uma porta distribuída

Defina uma política de segurança em um grupo de portas distribuídas para permitir ou rejeitar alterações no modo promíscuo e no endereço MAC do sistema operacional convidado das máquinas virtuais associadas ao grupo de portas. Você pode substituir a política de segurança herdada dos grupos de portas distribuídas em portas individuais.

Pré-requisitos

Para substituir uma política no nível da porta distribuída, ative a opção de substituição no nível da porta para essa política. Consulte Configurar políticas de rede de substituição no nível da porta.

Procedimento

  1. Na página inicial do vSphere Client, clique em Rede (Networking) e navegue até o switch distribuído.
  2. Navegue até a política de segurança para o grupo de portas distribuído ou a porta.
    Opção Ação
    Grupo de portas distribuídas
    1. No menu Ações (Actions), selecione Grupo de portas distribuídas (Distributed Port Group) > Gerenciar grupos de portas distribuídas (Manage Distributed Port Groups).
    2. Selecione Segurança (Security) e clique em Avançar (Next).
    3. Selecione o grupo de portas e clique em Avançar (Next).
    Porta distribuída
    1. Na guia Redes (Networks), clique em Grupos de portas distribuídas (Distributed Port Groups) e clique duas vezes em um grupo de portas distribuídas .
    2. Na guia Portas (Ports), selecione uma porta e clique no ícone Editar configurações (Edit settings).
    3. Selecione Segurança (Security).
    4. Selecione Substituir (Override) ao lado das propriedades a serem substituídas.
  3. Rejeite ou aceite a ativação do modo promíscuo ou as alterações de endereço MAC no sistema operacional convidado das máquinas virtuais conectadas à porta ou grupo de portas distribuídas.
    Opção Descrição
    Modo promíscuo
    • Rejeitar (Reject). O adaptador de rede da VM recebe apenas quadros endereçados à máquina virtual.
    • Aceitar (Accept). O comutador virtual encaminha todos os quadros para a máquina virtual em conformidade com a política de VLAN ativa para a porta à qual o adaptador de rede da VM está conectado.
    Observação: O modo promíscuo é um modo de operação inseguro. Firewalls, scanners de portas e sistemas de detecção de intrusão devem ser executados no modo promíscuo.
    Alterações de endereço MAC
    • Rejeitar (Reject). Se o sistema operacional convidado alterar o endereço MAC efetivo da máquina virtual para um valor diferente do endereço MAC do adaptador de rede da VM, o switch descartará todos os quadros de entrada no adaptador.

      Se o sistema operacional convidado alterar o endereço MAC efetivo da máquina virtual de volta para o endereço MAC do adaptador de rede da VM, a máquina virtual receberá quadros novamente.

    • Aceitar (Accept). Se o sistema operacional convidado alterar o endereço MAC efetivo da máquina virtual para um valor diferente do endereço MAC do adaptador de rede da VM, o comutador permitirá a passagem de quadros para o novo endereço.
    Transmissões forjadas
    • Rejeitar (Reject). O switch descarta qualquer quadro de saída de um adaptador de máquina virtual com um endereço MAC de origem diferente daquele no arquivo de configuração .vmx.
    • Aceitar (Accept). O switch não realiza filtragem e permite todos os quadros de saída.
    Status Ative ou desative o recurso de aprendizado de MAC. O padrão é desativado.
    Permitir inundação unicast Quando um pacote recebido por uma porta tem um endereço MAC de destino desconhecido, o pacote é descartado. Com a inundação de unicast desconhecido habilitada, a porta inunda o tráfego de unicast desconhecido para cada porta no switch que tem o aprendizado de MAC e a inundação de unicast desconhecido habilitados. Essa propriedade é ativada por padrão, se o aprendizado de MAC estiver ativado.
    Limite de MAC O número de endereços MAC que podem ser aprendidos é configurável. O valor máximo é 4096 por porta, que é o padrão.
    Política de limite de MAC A política para quando o limite de MAC é atingido. As opções são:
    • Descartar - Os pacotes de um endereço MAC de origem desconhecida são descartados. Os pacotes de entrada para este endereço MAC serão tratados como unicast desconhecido. A porta receberá os pacotes somente se tiver a inundação unicast desconhecida ativada.
    • Permitir - Os pacotes de um endereço MAC de origem desconhecida são encaminhados, embora o endereço não seja reconhecido. Os pacotes de entrada para este endereço MAC serão tratados como unicast desconhecido. A porta receberá os pacotes somente se tiver a inundação unicast desconhecida ativada.
  4. Revise suas configurações e aplique a configuração.