Mit SpoofGuard unterstützt die Abwehr von bestimmten Angriffen wie „Web-Spoofing“ und „Phishing“. Eine SpoofGuard-Richtlinie blockiert Datenverkehr, der als manipuliert erkannt wird.
- Zur Verhinderung der Erkennung der IP-Adresse einer vorhandenen VM durch eine nicht berechtigte virtuelle Maschine.
- Zur Sicherstellung, dass sich die IP-Adressen von virtuellen Maschinen nicht ohne Eingriff verändern lassen. In einigen Umgebungen ist es wünschenswert, dass virtuelle Maschinen ihre IP-Adressen ohne ordnungsgemäße Änderungskontrolle nicht ändern können. Mit SpoofGuard lässt sich dies vereinfachen. Damit wird sichergestellt, dass der Besitzer der virtuellen Maschine die IP-Adresse nicht einfach ändern und seine Arbeit ungehindert fortsetzen kann.
- Zur Sicherstellung, dass Regeln der die verteilte Firewall nicht irrtümlich (oder absichtlich) umgangen werden. Bei Regeln für die verteilte Firewall, die unter Verwendung von IP Sets als Quelle oder Ziele erstellt wurden, besteht immer die Gefahr, dass die IP-Adresse einer virtuelle Maschine in der Paketkopfzeile gefälscht ist und so die betreffenden Regeln umgangen werden.
Die Konfiguration von NSX-T Data Center SpoofGuard umfasst die folgenden Elemente:
- MAC SpoofGuard – authentifiziert die MAC-Adresse des Pakets
- IP SpoofGuard – authentifiziert die MAC- und die IP-Adresse des Pakets
-
Dynamische ARP (Address Resolution Protocol)-Untersuchung, d. h., es wird eine ARP-, GARP (Gratuitous Address Resolution Protocol)- und ND (Neighbor Discovery)-SpoofGuard-Überprüfung der Zuordnung der MAC-, IP- und IP-MAC-Quelle in der ARP-/GARP-/ND-Nutzlast durchgeführt.
Auf Portebene wird die Positivliste zulässiger MAC/VLAN/IP-Werte über die Adressbindungseigenschaft des Ports zur Verfügung gestellt. Wenn die virtuelle Maschine Datenverkehr sendet, wird dieser verworfen, wenn ihre IP-/MAC-/VLAN-Werte nicht mit den IP-/MAC-/VLAN-Eigenschaften des Ports übereinstimmen. SpoofGuard auf Portebene ist für die Authentifizierung des Datenverkehrs zuständig, d. h. für die Überprüfung, ob der Datenverkehr mit der VIF-Konfiguration in Einklang steht.
Auf Switch-Ebene wird die Positivliste zulässiger MAC/VLAN/IP-Werte über die Adressbindungseigenschaft des Switch zur Verfügung gestellt. Dabei handelt es sich in der Regel um einen zulässigen IP-Bereich bzw. um ein zulässiges Subnetz für den Switch. SpoofGuard auf Switch-Ebene ist für die Authentifizierung des Datenverkehrs zuständig.
Der Datenverkehr muss durch SpoofGuard auf Port- UND auf Switch-Ebene gestattet werden, bevor er für den Switch zugelassen wird. Die Aktivierung/Deaktivierung von SpoofGuard auf Port- und Switch-Ebene kann mithilfe des SpoofGuard-Switch-Profils gesteuert werden.