Datenverkehr auf dem Standard-Switch kann vor Ebene 2-Angriffen gesichert werden, indem Sie einige der MAC-Adressmodi der VM-Netzwerkadapter beschränken.

Jeder VM-Netzwerkadapter weist eine ursprüngliche MAC-Adresse und eine geltende MAC-Adresse auf.

Anfängliche MAC-Adresse

Die ursprüngliche MAC-Adresse wird beim Erstellen des Adapters zugewiesen. Obwohl die ursprüngliche MAC-Adresse von außerhalb des Gastbetriebssystems neu konfiguriert werden kann, kann sie nicht vom Gastbetriebssystem selbst geändert werden.

Geltende MAC-Adresse

Jeder Adapter verfügt über eine geltende MAC-Adresse, die eingehenden Netzwerkdatenverkehr mit einer Ziel-MAC-Adresse, die nicht der geltenden MAC-Adresse entspricht, herausfiltert. Das Gastbetriebssystem ist für die Einstellung der geltenden MAC-Adresse verantwortlich. In der Regel stimmen die geltende MAC-Adresse und die ursprünglich zugewiesene MAC-Adresse überein.

Was geschieht, wenn Sie einen VM-Netzwerkadapter erstellen?

Bei der Erstellung eines VM-Netzwerkadapters stimmen die geltende und die ursprünglich zugewiesene MAC-Adresse überein. Das Gastbetriebssystem kann die geltende MAC-Adresse jedoch jederzeit auf einen anderen Wert setzen. Wenn ein Betriebssystem die geltende MAC-Adresse ändert, empfängt der Netzwerkadapter Netzwerkdatenverkehr, der für die neue MAC-Adresse bestimmt ist.

Beim Versand von Datenpaketen über einen Netzwerkadapter schreibt das Gastbetriebssystem in der Regel die geltende MAC-Adresse des eigenen Netzwerkadapters in das Feld mit der Quell-MAC-Adresse der Ethernet-Frames. Die MAC-Adresse des Empfänger-Netzwerkadapters wird in das Feld mit der Ziel-MAC-Adresse geschrieben. Der empfangende Adapter akzeptiert Datenpakete nur dann, wenn die Ziel-MAC-Adresse im Paket mit seiner eigenen geltenden MAC-Adresse übereinstimmt.

Ein Betriebssystem kann Frames mit einer imitierten Quell-MAC-Adresse senden. Daher kann ein Betriebssystem die Identität eines vom Empfängernetzwerk autorisierten Netzwerkadapters annehmen und böswillige Angriffe auf die Geräte in einem Netzwerk durchführen.

Verwenden von Sicherheitsrichtlinien zum Schutz von Ports und Gruppen

Schützen Sie virtuellen Datenverkehr vor Imitierungs- und Abfangangriffen auf Layer 2, indem Sie eine Sicherheitsrichtlinie für Portgruppen oder Ports konfigurieren.

Die Sicherheitsrichtlinie für verteilte Portgruppen und Ports umfasst die folgenden Optionen:

Sie können die Standardeinstellungen durch Auswählen des mit dem Host verknüpften virtuellen Switches über den vSphere Client anzeigen und ändern. Weitere Informationen finden Sie in der Dokumentation vSphere-Netzwerk.

MAC-Adressänderungen

Die Sicherheitsrichtlinie eines virtuellen Switches beinhaltet die Option MAC-Adressänderungen. Mit dieser Option können virtuelle Maschinen Frames mit einer MAC-Adresse empfangen, die nicht mit der in der VMX konfigurierten Adresse identisch ist.

Wenn die Option MAC-Adressänderungen auf Akzeptieren festgelegt ist, akzeptiert ESXi Anforderungen, die geltende MAC-Adresse einer virtuellen Maschine in eine andere als die ursprünglich zugewiesene Adresse zu ändern.

Wenn die Option MAC-Adressänderungen auf Ablehnen festgelegt ist, lehnt ESXi Anforderungen ab, die geltende MAC-Adresse einer virtuellen Maschine in eine andere als die ursprünglich zugewiesene Adresse zu ändern. Diese Einstellung schützt den Host vor MAC-Imitationen. Der Port, der von dem Adapter der virtuellen Maschine zum Senden der Anforderung verwendet wird, ist deaktiviert, und der Adapter der virtuellen Maschine erhält keine weiteren Frames mehr, bis die geltende MAC-Adresse mit der ursprünglichen MAC-Adresse übereinstimmt. Das Gastbetriebssystem erkennt nicht, dass die Anforderung zum Ändern der MAC-Adresse nicht angenommen wurde.

Hinweis: Der iSCSI-Initiator basiert darauf, dass er MAC-Adressänderungen von bestimmten Speichertypen erhalten kann. Wenn Sie ESXi-iSCSI mit iSCSI-Speicher verwenden, legen Sie die Option MAC-Adressänderungen auf Akzeptieren fest.

In bestimmten Situationen ist es tatsächlich notwendig, dass mehrere Adapter in einem Netzwerk die gleiche MAC-Adresse haben, zum Beispiel wenn Sie den Microsoft-Netzwerk-Lastausgleich im Unicast-Modus verwenden. Bei Verwendung des Microsoft-NetzwerkLastausgleichs im Standard-Multicast-Modus haben die Adapter nicht die gleiche MAC-Adresse.

Hinweis: Ab vSphere 7.0 wurden die Standardwerte für Gefälschte Übertragungen und MAC-Adressänderungen in „Ablehnen“ anstelle von „Akzeptieren“ geändert. Wenden Sie sich an Ihren Speicheranbieter, um dies zu überprüfen.

Gefälschte Übertragungen

Die Option Gefälschte Übertragungen beeinflusst den Datenverkehr, der von einer virtuellen Maschine versendet wird.

Wenn die Option Gefälschte Übertragungen auf Akzeptieren festgelegt ist, vergleicht ESXi die Quell- und die geltende MAC-Adresse nicht.

Zum Schutz gegen MAC-Imitation können Sie die Option Gefälschte Übertragungen auf Ablehnen einstellen. In diesem Fall vergleicht der Host die Quell-MAC-Adresse, die vom Gastbetriebssystem übertragen wird, mit der geltenden MAC-Adresse für den Adapter der virtuellen Maschine, um festzustellen, ob sie übereinstimmen. Wenn die Adressen nicht übereinstimmen, verwirft der ESXi-Host das Paket.

Das Gastbetriebssystem erkennt nicht, dass der Adapter der virtuellen Maschine die Pakete mit der imitierten MAC-Adresse nicht senden kann. Der ESXi-Host fängt alle Pakete mit imitierten Adressen vor der Übermittlung ab. Das Gastbetriebssystem geht ggf. davon aus, dass die Pakete verworfen wurden.

Hinweis: Ab vSphere 7.0 wurden die Standardwerte für Gefälschte Übertragungen und MAC-Adressänderungen in „Ablehnen“ anstelle von „Akzeptieren“ geändert.

Betrieb im Promiscuous-Modus

Der Promiscuous-Modus deaktiviert jegliche Empfangsfilterung, die der Adapter der virtuellen Maschine ausführt, sodass das Gastbetriebssystem den gesamten Datenverkehr aus dem Netzwerk empfängt. Standardmäßig kann der Adapter der virtuellen Maschine nicht im Promiscuous-Modus betrieben werden.

Der Promiscuous-Modus kann zwar für die Nachverfolgung von Netzwerkaktivitäten nützlich sein, aber er ist ein unsicherer Betriebsmodus, da jeder Adapter im Promiscuous-Modus Zugriff auf alle Pakete hat, selbst wenn manche Pakete nur für einen spezifischen Netzwerkadapter bestimmt sind. Das bedeutet, dass ein Administrator oder Root-Benutzer in einer virtuellen Maschine rein theoretisch den Datenverkehr, der für andere Gast- oder Hostbetriebssysteme bestimmt ist, einsehen kann.

Weitere Informationen zum Konfigurieren des VM-Adapters für den Promiscuous-Modus finden Sie im Thema zur Konfiguration der Sicherheitsrichtlinie für einen vSphere Standard Switch oder eine standardmäßige Portgruppe in der Dokumentation zu vSphere-Netzwerk.

Hinweis: Unter bestimmten Umständen ist es notwendig, für einen Standard-Switch oder einen verteilten virtuellen Switch den Promiscuous-Modus zu konfigurieren, zum Beispiel wenn Sie eine Software zur Netzwerkeinbruchserkennung oder einen Paket-Sniffer verwenden.