Mit SpoofGuard unterstützt die Abwehr von bestimmten Angriffen wie „Web-Spoofing“ und „Phishing“. Eine SpoofGuard-Richtlinie blockiert Datenverkehr, der als manipuliert erkannt wird.

SpoofGuard ist ein Tool, das virtuelle Maschinen in Ihrer Umgebung daran hindert, Datenverkehr von einer nicht für das Senden berechtigten IP-Adresse zu senden. Wenn die IP-Adresse einer virtuellen Maschine nicht mit der IP-Adresse des zugehörigen logischen Ports und der Segmentadressbindung in Spoof Guard übereinstimmt, wird die vNIC der virtuellen Maschine vollständig am Zugriff auf das Netzwerk gehindert. SpoofGuard lässt sich auf Port- oder Segmentebene konfigurieren. SpoofGuard kann aus verschiedenen Gründen in Ihrer Umgebung verwendet werden:
  • Zur Verhinderung der Erkennung der IP-Adresse einer vorhandenen VM durch eine nicht berechtigte virtuelle Maschine.
  • Zur Sicherstellung, dass sich die IP-Adressen von virtuellen Maschinen nicht ohne Eingriff verändern lassen. In einigen Umgebungen ist es wünschenswert, dass virtuelle Maschinen ihre IP-Adressen ohne ordnungsgemäße Änderungskontrolle nicht ändern können. Mit SpoofGuard lässt sich dies vereinfachen. Damit wird sichergestellt, dass der Besitzer der virtuellen Maschine die IP-Adresse nicht einfach ändern und seine Arbeit ungehindert fortsetzen kann.
  • Zur Sicherstellung, dass Regeln der verteilten Firewall nicht irrtümlich (oder absichtlich) umgangen werden. Bei Regeln für die verteilte Firewall, die unter Verwendung von IP Sets als Quelle oder Ziele erstellt wurden, besteht immer die Gefahr, dass die IP-Adresse einer virtuelle Maschine in der Paketkopfzeile gefälscht ist und so die betreffenden Regeln umgangen werden.

Die Konfiguration von NSX SpoofGuard umfasst die folgenden Elemente:

  • MAC SpoofGuard – authentifiziert die MAC-Adresse des Pakets
  • IP SpoofGuard – authentifiziert die MAC- und die IP-Adresse des Pakets

  • Dynamische ARP (Address Resolution Protocol)-Untersuchung, d. h., es wird eine ARP-, GARP (Gratuitous Address Resolution Protocol)- und ND (Neighbor Discovery)-SpoofGuard-Überprüfung der Zuordnung der MAC-, IP- und IP-MAC-Quelle in der ARP-/GARP-/ND-Nutzlast durchgeführt.

Auf Portebene wird die Positivliste zulässiger MAC/VLAN/IP-Werte über die Adressbindungseigenschaft des Ports zur Verfügung gestellt. Wenn die virtuelle Maschine Datenverkehr sendet, wird dieser verworfen, wenn ihre IP-/MAC-/VLAN-Werte nicht mit den IP-/MAC-/VLAN-Eigenschaften des Ports übereinstimmen. SpoofGuard auf Portebene ist für die Authentifizierung des Datenverkehrs zuständig, d. h. für die Überprüfung, ob der Datenverkehr mit der VIF-Konfiguration in Einklang steht.

Auf Segmentebene wird die Positivliste zulässiger MAC-/VLAN-/IP-Werte über die Adressbindungseigenschaft des Segments zur Verfügung gestellt. Hierbei handelt es sich in der Regel um einen zulässigen IP-Bereich oder ein zulässiges Subnetz für das Segment. SpoofGuard ist auf Segmentebene für die Authentifizierung des Datenverkehrs zuständig.

Der Datenverkehr muss von SpoofGuard auf Port- UND Segmentebene gestattet werden, bevor er für das Segment zugelassen wird. Die Aktivierung/Deaktivierung von SpoofGuard auf Port- und Segmentebene kann mithilfe des SpoofGuard-Segmentprofils gesteuert werden.