Assim como acontece com adaptadores de rede padrão, um adaptador de rede virtual pode enviar quadros que parecem ser de uma máquina diferente ou passar por outro máquina. Além disso, como os adaptadores de rede física, um adaptador de rede virtual pode ser configurado para que ele recebe quadros orientados para outras máquinas.
Quando um switch padrão é criado, grupos de portas são adicionados para impor a configuração de política para as máquinas virtuais e sistemas de armazenamento conectados ao switch. As portas virtuais são criadas através do vSphere Web Client ou vSphere Client.
Como parte da adição de uma porta ou grupo de portas padrão em um switch padrão, o vSphere Client configura um perfil de proteção para a porta. O host pode, então, impedir que qualquer uma de suas máquinas virtuais passe por outras máquinas na rede. O sistema de operação de convidados responsável pela representação não detecta que a representação foi impedida.
O perfil de segurança determina a força com a qual o host reforça a proteção contra representação e interceptação de ataques nas máquinas virtuais. Para usar corretamente as configurações no perfil de segurança, você deve compreender o básico de como os adaptadores da rede virtual controlam as transmissões e como os ataques são preparados nesse nível.
Cada adaptador da rede virtual tem um endereço MAC que é atribuído a ele quando o adaptador é criado. Esse endereço é chamado de endereço MAC inicial. Embora o endereço inicial MAC possa ser reconfigurado de fora do sistema operacional convidado, ele não pode ser alterado pelo sistema operacional convidado. Além disso, cada adaptador tem um endereço MAC efetivo que filtra o tráfego de rede de entrada com um endereço MAC de destino diferente do endereço MAC efetivo. O sistema operacional convidado é responsável por definir o endereço MAC efetivo e, normalmente, corresponde ao endereço MAC efetivo para o endereço MAC inicial.
Ao enviar pacotes, um sistema operacional geralmente coloca seu endereço MAC efetivo do endereço do próprio endereço de rede no campo de endereço MAC de origem do quadro Ethernet. Ele também coloca o endereço MAC para receber o adaptador de rede no campo do endereço MAC de destino. O adaptador de recebimento aceita pacotes somente quando o endereço MAC de destino no pacote corresponder ao seu próprio endereço MAC efetivo.
Após a criação, endereço MAC efetivo de um adaptador de rede e o endereço MAC inicial são os mesmos. A qualquer momento o sistema operacional da máquina virtual pode alterar o endereço MAC efetivo para outro valor. Se um sistema operacional mudar o endereço MAC efeito, o seu adaptador de rede recebe o tráfego de rede destinado para o novo endereço MAC. A qualquer momento o sistema operacional pode enviar quadros com uma endereço MAC de origem representado. Isso significa que um sistema operacional pode realizar ataques maliciosos nos dispositivos em uma rede através da representação de um adaptador de rede que a rede de recepção autoriza.
Perfil de segurança do switch padrão podem ser usados nos hosts para proteger contra esse tipo de ataque ao configurar três opções. Se nenhuma configuração padrão para uma porta for alterada, o perfil de segurança deve ser modificado através da edição das configurações padrão do switch no vSphere Client.