Você pode proteger o tráfego de switch padrão contra ataques de camada 2 restringindo alguns dos modos de endereço MAC dos adaptadores de rede da VM.
Cada adaptador de rede da VM tem um endereço MAC inicial e um endereço MAC efetivo.
Endereço MAC inicial
O endereço MAC inicial é atribuído quando o adaptador é criado. Embora o endereço MAC inicial possa ser reconfigurado de fora do sistema operacional convidado, ele não pode ser alterado pelo sistema operacional convidado.
Endereço MAC efetivo
Cada adaptador tem um endereço MAC efetivo que filtra o tráfego de rede de entrada com um endereço MAC de destino diferente do endereço MAC efetivo. O sistema operacional convidado é responsável por definir o endereço MAC efetivo e normalmente corresponde o endereço MAC efetivo ao endereço MAC inicial.
O que acontece quando você cria um adaptador de rede de máquina virtual
Ao criar um adaptador de rede de máquina virtual, o endereço MAC efetivo e o endereço MAC inicial são os mesmos. O sistema operacional convidado pode alterar o endereço MAC efetivo para outro valor a qualquer momento. Se um sistema operacional alterar o endereço MAC efetivo, seu adaptador de rede receberá o tráfego de rede destinado ao novo endereço MAC.
Ao enviar pacotes por meio de um adaptador de rede, o sistema operacional convidado normalmente coloca seu próprio endereço MAC efetivo do adaptador no campo de endereço MAC de origem dos quadros Ethernet. Ele coloca o endereço MAC do adaptador de rede de recebimento no campo de endereço MAC de destino. O adaptador de recebimento só aceitará pacotes se o endereço MAC de destino no pacote corresponder ao seu próprio endereço MAC efetivo.
Um sistema operacional pode enviar quadros com um endereço MAC de origem representado. Portanto, um sistema operacional pode representar um adaptador de rede autorizado pela rede receptora e preparar ataques mal-intencionados aos dispositivos em uma rede.
Usando políticas de segurança para proteger portas e grupos
Proteja o tráfego virtual contra ataques de representação e interceptação de Camada 2 configurando uma política de segurança em portas ou grupos de portas.
A política de segurança em portas e grupos de portas distribuídos inclui as seguintes opções:
- Alterações de endereço MAC (consulte Alterações de endereço MAC)
- Modo promíscuo (consulte Operação no modo promíscuo)
- Transmissões forjadas (consulte Transmissões falsificadas)
Você pode visualizar e alterar as configurações padrão selecionando o comutador virtual associado ao host em vSphere Client. Consulte a documentação do vSphere Rede.
Alterações de endereço MAC
A política de segurança de um comutador virtual inclui uma opção de alterações de endereço MAC (MAC address changes). Essa opção permite que as máquinas virtuais recebam quadros com um endereço Mac diferente daquele configurado no VMX.
Quando a opção Macendereço alterado está definida como Aceitar (Accept), ESXi aceita solicitações para alterar o endereço MAC efetivo de uma máquina virtual para um endereço diferente do endereço MAC inicial.
Quando a opção Mac address changes é definida como Reject, ESXi não aceita solicitações para alterar o endereço MAC efetivo de uma máquina virtual para um endereço diferente do MAC inicial endereço. Essa configuração protege o host contra a representação de MAC. A porta que o adaptador de máquina virtual usou para enviar a solicitação é desativada e o adaptador de máquina virtual não recebe mais quadros até que o endereço MAC efetivo corresponda ao endereço MAC inicial. O sistema operacional convidado não detecta que a solicitação de alteração do endereço MAC não foi atendida.
Em algumas situações, você pode ter uma necessidade legítima de que mais de um adaptador tenha o mesmo endereço MAC em uma rede, por exemplo, se estiver usando o Balanceamento de Carga de Rede da Microsoft no modo unicast. Quando o balanceamento de carga de rede da Microsoft é usado no modo multicast padrão, os adaptadores não compartilham endereços MAC.
Transmissões falsificadas
A opção Transmissões forjadas (Forged transmits) afeta o tráfego que é transmitido de uma máquina virtual.
Quando a opção Transmissões forjadas (Forged transmits) está definida como Aceitar (Accept), ESXi não compara os endereços MAC de origem e efetivos.
Para se proteger contra a representação de MAC, você pode definir a opção Transmissões forjadas (Forged transmits) como Rejeitar (Reject). Se você fizer isso, o host comparará o endereço MAC de origem que está sendo transmitido pelo sistema operacional convidado com o endereço MAC efetivo do adaptador de máquina virtual para ver se eles correspondem. Se os endereços não corresponderem, o host ESXi descartará o pacote.
O sistema operacional convidado não detecta que seu adaptador de máquina virtual não pode enviar pacotes usando o endereço MAC representado. O host ESXi intercepta quaisquer pacotes com endereços representados antes que eles sejam entregues, e o sistema operacional convidado pode presumir que os pacotes foram descartados.
Operação no modo promíscuo
O modo promíscuo elimina qualquer filtragem de recepção que o adaptador de máquina virtual executa para que o sistema operacional convidado receba todo o tráfego observado na conexão. Por padrão, o adaptador de máquina virtual não pode operar no modo promíscuo.
Embora o modo promíscuo possa ser útil para rastrear a atividade de rede, é um modo de operação inseguro, pois qualquer adaptador no modo promíscuo tem acesso aos pacotes, mesmo que alguns dos pacotes sejam recebidos apenas por um determinado adaptador de rede. Isso significa que um administrador ou usuário raiz em uma máquina virtual pode visualizar o tráfego destinado a outros sistemas operacionais guest ou host.
Consulte o tópico sobre como configurar a política de segurança para um vSphere Standard Switch ou Standard Port Group na documentação do vSphere Rede para obter informações sobre como configurar o adaptador de máquina virtual para o modo promíscuo.
