SpoofGuard schützt vor IP-Spoofing, indem eine Referenztabelle mit VM-Namen und IP-Adressen gepflegt wird. Spoofguard pflegt diese Referenztabelle, indem die IP-Adressen verwendet werden, die der NSX Manager von VMware Tools abruft, wenn eine VM anfänglich gestartet wird.
Nach der Synchronisierung mit vCenter Server erfasst NSX Manager auf allen virtuellen Maschinen die IP-Adressen aller virtuellen vCenter-Gastmaschinen aus VMware Tools. Wenn die Sicherheit einer virtuellen Maschine gefährdet wurde, kann die IP-Adresse manipuliert worden sein. Demzufolge könnten Übertragungen mit böswilligen Absichten Firewallrichtlinien umgehen.
Spoofguard ist standardmäßig inaktiv und muss explizit auf jedem logischen Switch oder in der VDS-Portgruppe aktiviert werden. Wenn eine Änderung der IP-Adresse der VM festgestellt wird, blockiert die verteilte Firewall (DFW) den Datenverkehr von oder zu dieser VM, bis Sie diese neue IP-Adresse genehmigen.
Erstellen Sie eine SpoofGuard-Richtlinie für bestimmte Netzwerke. Dadurch können Sie die von VMware Tools gemeldeten IP-Adressen autorisieren und diese bei Bedarf ändern, um Manipulationen (Spoofing) zu verhindern. SpoofGuard vertraut standardmäßig den MAC-Adressen virtueller Maschinen, die aus VMX-Dateien und dem vSphere SDK erfasst werden. SpoofGuard wird getrennt von den Firewallregeln ausgeführt und kann zum Blockieren von Datenverkehr verwendet werden, der als manipuliert erkannt wurde.
SpoofGuard unterstützt sowohl IPv4- als auch IPv6-Adressen. Die SpoofGuard-Richtlinie unterstützt mehrere einer vNIC zugewiesenen IP-Adressen, wenn VMware Tools und das DHCP-Snooping verwendet werden. Das ARP-Snooping unterstützt pro VM und pro vNIC bis zu 128 ermittelte Adressen. Die SpoofGuard-Richtlinie überwacht und verwaltet die von Ihren virtuellen Maschinen gemeldeten IP-Adressen in einem der folgenden Modi.
- IP-Zuweisungen automatisch bei erster Verwendung vertrauen
- Dieser Modus erlaubt die Durchleitung des gesamten, von Ihren virtuellen Maschinen ausgehenden Datenverkehrs. Dabei wird eine Zuweisungstabelle zwischen vNIC- und IP-Adressen erstellt. Sie können diese Tabelle überprüfen und IP-Adressenänderungen vornehmen. In diesem Modus werden automatisch alle IPv4- und IPv6-Adressen, die zuerst auf einer vNIC angezeigt werden, genehmigt.
- Alle IP-Zuweisungen vor der Verwendung manuell überprüfen und genehmigen
- In diesem Modus wird der gesamte Datenverkehr so lange blockiert, bis Sie die jeweilige vNIC-zu-IP-Adressenzuweisung genehmigen. In diesem Modus können mehrere IPv4-Adressen genehmigt werden.
SpoofGuard beinhaltet eine systemgenerierte Standardrichtlinie, die auf Portgruppen und logische Netzwerke angewendet wird, die nicht anderen SpoofGuard-Richtlinien unterliegen. Ein neu hinzugefügtes Netzwerk wird automatisch zur Standardrichtlinie hinzugefügt, bis Sie das Netzwerk zu einer bestehenden Richtlinie hinzufügen oder eine neue Richtlinie dafür erstellen.
SpoofGuard ist eine der Möglichkeiten, die eine Richtlinie für eine verteilte Firewall von NSX verwenden kann, um die IP-Adresse einer virtuellen Maschine zu ermitteln. Weitere Informationen hierzu finden Sie unter IP-Erkennung für virtuelle Maschinen.