Die Netzwerksicherheitsrichtlinie bietet Schutz des Datenverkehrs vor der Imitation von MAC-Adressen und unerwünschten Portprüfungen.

Die Sicherheitsrichtlinie eines Standard-Switches oder eines Distributed Switch ist auf Schicht 2 (Sicherungsschicht) des Netzwerkprotokoll-Stacks implementiert. Die drei Elemente der Sicherheitsrichtlinie sind der Promiscuous-Modus, Änderungen der MAC-Adresse und gefälschte Übertragungen. Weitere Informationen zu möglichen Netzwerkbedrohungen finden Sie in der Dokumentation vSphere-Sicherheit.

Konfigurieren der Sicherheitsrichtlinie für einen vSphere Standard-Switch oder eine Standardportgruppe

Sie können die Sicherheitsrichtlinie zur Ablehnung von Änderungen der MAC-Adresse und des Promiscuous-Modus im Gastbetriebssystem einer virtuellen Maschine für einen vSphere Standard-Switch konfigurieren. Sie können die vom Standard-Switch geerbte Sicherheitsrichtlinie für einzelne Portgruppen außer Kraft setzen.

Prozedur

  1. Navigieren Sie im vSphere Client zum Host.
  2. Erweitern Sie auf der Registerkarte Konfigurieren die Option Netzwerk und wählen Sie Virtuelle Switches aus.
  3. Navigieren Sie zur Sicherheitsrichtlinie für den Standard-Switch oder die Portgruppe.
    Option Aktion
    vSphere Standard-Switch
    1. Wählen Sie einen Standard-Switch aus der Liste aus.
    2. Klicken Sie auf Einstellungen bearbeiten.
    3. Wählen Sie Sicherheit aus.
    Standard-Portgruppe
    1. Wählen Sie den Standard-Switch aus, bei dem sich die Portgruppe befindet.
    2. Wählen Sie im Topologie-Diagramm eine Standard-Portgruppe aus.
    3. Klicken Sie auf Einstellungen bearbeiten.
    4. Wählen Sie Sicherheit und dann Außer Kraft setzen neben den außer Kraft zu setzenden Optionen aus.
  4. Lehnen Sie die Promiscuous-Modus-Aktivierung oder die MAC-Adressänderungen im Gastbetriebssystem der an den Standard-Switch oder die Portgruppe angeschlossenen virtuellen Maschinen ab bzw. nehmen Sie diese an.
    Option Beschreibung
    Promiscuous-Modus
    • Ablehnen. Der VM-Netzwerkadapter empfängt nur Frames, die an die virtuelle Maschine adressiert sind.
    • Akzeptieren. Der virtuelle Switch leitet alle Frames an die virtuellen Maschinen in Übereinstimmung mit der aktiven VLAN-Richtlinie für den Port weiter, mit dem der VM-Netzwerkadapter verbunden ist.
    Hinweis: Der Promiscuous-Modus ist ein unsicherer Betriebsmodus. Firewalls, Portscanner und Erkennungssysteme für Eindringversuche müssen im Promiscuous-Modus ausgeführt werden.
    MAC-Adressänderungen
    • Ablehnen. Wenn das Gastbetriebssystem die effektive MAC-Adresse der virtuellen Maschine auf einen Wert ändert, der von der MAC-Adresse des VM-Netzwerkadapters abweicht, unterbindet der Switch alle eingehenden Frames zum Adapter.

      Wenn das Gastbetriebssystem die effektive MAC-Adresse der virtuellen Maschine wieder zur MAC-Adresse des VM-Netzwerkadapters ändert, empfängt die virtuelle Maschine wieder Frames.

    • Akzeptieren. Wenn das Gastbetriebssystem die effektive MAC-Adresse einer virtuellen Maschine auf einen Wert ändert, der von der MAC-Adresse des VM-Netzwerkadapters abweicht, lässt der Switch Frames zu der neuen Adresse passieren.
    Gefälschte Übertragungen
    • Ablehnen. Der Switch verwirft alle ausgehenden Frames von einem Adapter einer virtuellen Maschine mit einer Quell-MAC-Adresse, die von der Adresse in der .vmx-Konfigurationsdatei abweicht.
    • Akzeptieren. Der Switch führt keine Filterung durch und lässt alle ausgehenden Frames zu.
    Status Aktivieren oder deaktivieren Sie MAC Learning. Standardmäßig ist sie deaktiviert.
    Unicast-Flooding zulassen Wenn ein Paket, das von einem Port empfangen wird, eine unbekannte Ziel-MAC-Adresse hat, wird das Paket verworfen. Bei aktiviertem Flooding des Datenverkehrs vom Typ „Unbekannter Unicast“ leitet der Port diesen Datenverkehr an jeden Port auf dem Switch weiter, für den MAC Learning und unbekanntes Unicast-Flooding aktiviert wurden. Diese Eigenschaft ist standardmäßig aktiviert, wenn MAC Learning aktiviert ist.
    MAC-Grenzwert Die Anzahl erlernbarer MAC-Adressen ist konfigurierbar. Der Maximalwert beträgt 4096 pro Port. Dies ist die Standardeinstellung.
    MAC-Grenzwertrichtlinie Die Richtlinie für den Zeitpunkt, an dem der MAC-Grenzwert erreicht ist. Folgende Optionen sind verfügbar:
    • Verwerfen – Pakete von einer unbekannten MAC-Quelladresse werden verworfen. Pakete, die bei dieser MAC-Adresse eingehen, werden als unbekannte Unicast-Objekte behandelt. Der Port empfängt die Pakete nur dann, wenn unbekanntes Unicast-Flooding aktiviert ist.
    • Zulassen – Pakete von einer unbekannten MAC-Quelladresse werden weitergeleitet, obwohl die Adresse nicht erlernt wird. Pakete, die bei dieser MAC-Adresse eingehen, werden als unbekannte Unicast-Objekte behandelt. Der Port empfängt die Pakete nur dann, wenn unbekanntes Unicast-Flooding aktiviert ist.
  5. Klicken Sie auf OK.

Konfigurieren der Sicherheitsrichtlinie für eine verteilte Portgruppe oder einen verteilten Port

Erfahren Sie, wie Sie eine Sicherheitsrichtlinie für eine verteilte Portgruppe einrichten, um den promiskuitiven Modus und MAC-Adressänderungen vom Gastbetriebssystem der virtuellen Maschinen zuzulassen oder abzulehnen, die der Portgruppe zugeordnet sind. Sie können die von den verteilten Portgruppen oder von einzelnen Ports geerbte Sicherheitsrichtlinie außer Kraft setzen.

Voraussetzungen

Um eine Richtlinie auf der Ebene der verteilten Ports außer Kraft zu setzen, aktivieren Sie die Außerkraftsetzungen auf Portebene für diese Richtlinie. Weitere Informationen hierzu finden Sie unter Konfigurieren von überschreibenden Netzwerkrichtlinien auf Portebene.

Prozedur

  1. Klicken Sie auf der Startseite des vSphere Client auf Netzwerk und navigieren Sie zum Distributed Switch.
  2. Navigieren Sie zur Sicherheitsrichtlinie für die verteilte Portgruppe oder den Port.
    Option Aktion
    Verteilte Portgruppe
    1. Wählen Sie im Menü Aktionen die Option Verteilte Portgruppe > Verteilte Portgruppen verwalten aus.
    2. Wählen Sie Sicherheit aus und klicken Sie auf Weiter.
    3. Wählen Sie die Portgruppe aus und klicken Sie auf Weiter.
    Verteilter Port
    1. Klicken Sie auf der Registerkarte Netzwerke auf Verteilte Portgruppen und doppelklicken Sie auf eine verteilte Portgruppe.
    2. Wählen Sie auf der Registerkarte Ports einen Port aus und klicken Sie auf das Symbol Einstellungen bearbeiten.
    3. Wählen Sie Sicherheit aus.
    4. Wählen Sie neben den außer Kraft zu setzenden Eigenschaften Außer Kraft setzen aus.
  3. Lehnen Sie die Promiscuous-Modus-Aktivierung oder die MAC-Adressänderungen im Gastbetriebssystem der an die verteilte Portgruppe oder den Port angeschlossenen virtuellen Maschinen ab bzw. nehmen Sie diese an.
    Option Beschreibung
    Promiscuous-Modus
    • Ablehnen. Der VM-Netzwerkadapter empfängt nur Frames, die an die virtuelle Maschine adressiert sind.
    • Akzeptieren. Der virtuelle Switch leitet alle Frames an die virtuellen Maschinen in Übereinstimmung mit der aktiven VLAN-Richtlinie für den Port weiter, mit dem der VM-Netzwerkadapter verbunden ist.
    Hinweis: Der Promiscuous-Modus ist ein unsicherer Betriebsmodus. Firewalls, Portscanner und Erkennungssysteme für Eindringversuche müssen im Promiscuous-Modus ausgeführt werden.
    MAC-Adressänderungen
    • Ablehnen. Wenn das Gastbetriebssystem die effektive MAC-Adresse der virtuellen Maschine auf einen Wert ändert, der von der MAC-Adresse des VM-Netzwerkadapters abweicht, unterbindet der Switch alle eingehenden Frames zum Adapter.

      Wenn das Gastbetriebssystem die effektive MAC-Adresse der virtuellen Maschine wieder zur MAC-Adresse des VM-Netzwerkadapters ändert, empfängt die virtuelle Maschine wieder Frames.

    • Akzeptieren. Wenn das Gastbetriebssystem die effektive MAC-Adresse einer virtuellen Maschine auf einen Wert ändert, der von der MAC-Adresse des VM-Netzwerkadapters abweicht, lässt der Switch Frames zu der neuen Adresse passieren.
    Gefälschte Übertragungen
    • Ablehnen. Der Switch verwirft alle ausgehenden Frames von einem Adapter einer virtuellen Maschine mit einer Quell-MAC-Adresse, die von der Adresse in der .vmx-Konfigurationsdatei abweicht.
    • Akzeptieren. Der Switch führt keine Filterung durch und lässt alle ausgehenden Frames zu.
    Status Aktivieren oder deaktivieren Sie MAC Learning. Standardmäßig ist sie deaktiviert.
    Unicast-Flooding zulassen Wenn ein Paket, das von einem Port empfangen wird, eine unbekannte Ziel-MAC-Adresse hat, wird das Paket verworfen. Bei aktiviertem Flooding des Datenverkehrs vom Typ „Unbekannter Unicast“ leitet der Port diesen Datenverkehr an jeden Port auf dem Switch weiter, für den MAC Learning und unbekanntes Unicast-Flooding aktiviert wurden. Diese Eigenschaft ist standardmäßig aktiviert, wenn MAC Learning aktiviert ist.
    MAC-Grenzwert Die Anzahl erlernbarer MAC-Adressen ist konfigurierbar. Der Maximalwert beträgt 4096 pro Port. Dies ist die Standardeinstellung.
    MAC-Grenzwertrichtlinie Die Richtlinie für den Zeitpunkt, an dem der MAC-Grenzwert erreicht ist. Folgende Optionen sind verfügbar:
    • Verwerfen – Pakete von einer unbekannten MAC-Quelladresse werden verworfen. Pakete, die bei dieser MAC-Adresse eingehen, werden als unbekannte Unicast-Objekte behandelt. Der Port empfängt die Pakete nur dann, wenn unbekanntes Unicast-Flooding aktiviert ist.
    • Zulassen – Pakete von einer unbekannten MAC-Quelladresse werden weitergeleitet, obwohl die Adresse nicht erlernt wird. Pakete, die bei dieser MAC-Adresse eingehen, werden als unbekannte Unicast-Objekte behandelt. Der Port empfängt die Pakete nur dann, wenn unbekanntes Unicast-Flooding aktiviert ist.
  4. Prüfen Sie die Einstellungen und übernehmen Sie die Konfiguration.