Ein virtueller Netzwerkadapter kann wie ein physischer Netzwerkadapter Frames senden, die von einer anderen Maschine zu stammen oder eine andere Maschine zu imitieren scheinen. Außerdem kann ein virtueller Netzwerkadapter einer virtuellen Maschine, genauso wie ein physischer Netzwerkadapter, so konfiguriert werden, dass er Datenblöcke empfängt, die für andere virtuelle Maschinen bestimmt sind.
Bei Erstellung eines Standard-Switchs werden Portgruppen hinzugefügt, um eine Richtlinienkonfiguration für die an den Switch angehängten virtuellen Maschinen und Speichersysteme einzuführen. Virtuelle Ports werden über den vSphere Web Client oder den vSphere Client erstellt.
vSphere Client konfiguriert als Teil des Hinzufügens eines Ports oder einer Standard-Portgruppe zu einem Standard-Switch eine Sicherheitsrichtlinie für den Port. Anschließend kann der Host verhindern, dass eine der virtuellen Maschinen andere Maschinen im Netzwerk imitiert. Das Gastbetriebssystem, das für die Imitation verantwortlich ist, erkennt nicht, dass diese verhindert wurde.
Das Sicherheitsprofil bestimmt, wie streng der Host den Schutz vor Imitierungs- oder Abfangangriffe auf virtuelle Maschinen durchsetzt. Damit Sie die Einstellungen des Sicherheitsprofils richtig anwenden können, müssen Sie die Grundlagen verstehen, wie Netzwerkadapter Datenübertragungen steuern und wie Angriffe auf dieser Ebene vorgenommen werden.
Jeder virtuelle Netzwerkadapter verfügt über eine MAC-Adresse, die ihm bei der Erstellung zugewiesen wird. Dies ist die ursprüngliche MAC-Adresse. Obwohl die ursprüngliche MAC-Adresse von außerhalb des Gastbetriebssystems neu konfiguriert werden kann, kann sie nicht vom Gastbetriebssystem selbst geändert werden. Jeder Adapter verfügt darüber hinaus über eine geltende MAC-Adresse, die eingehenden Netzwerkdatenverkehr mit einer Ziel-MAC-Adresse, die nicht der geltenden MAC-Adresse entspricht, herausfiltert. Das Gastbetriebssystem ist für die Einstellung der geltenden MAC-Adresse verantwortlich. In der Regel stimmen die geltende MAC-Adresse und die ursprünglich zugewiesene MAC-Adresse überein.
Beim Versand von Datenpaketen schreibt das Gastbetriebssystem in der Regel die geltende MAC-Adresse des eigenen Netzwerkadapters in das Feld mit der Quell-MAC-Adresse der Ethernet-Frames. Die MAC-Adresse des Empfänger-Netzwerkadapters wird außerdem in das Feld mit der Ziel-MAC-Adresse geschrieben. Der empfangende Adapter akzeptiert Datenpakete nur dann, wenn die Ziel-MAC-Adresse im Paket mit seiner eigenen geltenden MAC-Adresse übereinstimmt.
Bei der Erstellung eines Netzwerkadapters stimmen die geltende und die ursprünglich zugewiesene MAC-Adresse überein. Das Betriebssystem der virtuellen Maschine kann die geltende MAC-Adresse jedoch jederzeit auf einen anderen Wert setzen. Wenn ein Betriebssystem die geltende MAC-Adresse ändert, empfängt der Netzwerkadapter Netzwerkdatenverkehr, der für die neue MAC-Adresse bestimmt ist. Das Betriebssystem kann Frames mit einer imitierten Quell-MAC-Adresse jederzeit senden. Daher kann ein Betriebssystem böswillige Angriffe auf die Geräte in einem Netzwerk durchführen, indem es einen Netzwerkadapter imitiert, der vom Empfängernetzwerk autorisiert wurde.
Standard-Switch-Sicherheitsprofile können auf Hosts zum Schutz vor dieser Art von Angriffen verwendet werden, indem drei Optionen festgelegt werden. Wenn Standardeinstellungen zu einem Port geändert werden, muss das Sicherheitsprofil geändert werden, in dem die Standard-Switch-Einstellungen im vSphere Client bearbeitet werden.