SpoofGuard ayuda a evitar un ataque malicioso denominado "suplantación de páginas web" o "suplantación de identidad". Una directiva SpoofGuard bloquea el tráfico que se determina que se va a suplantar.

SpoofGuard es una herramienta diseñada para evitar que las máquinas virtuales de su entorno envíen tráfico con una dirección IP desde la que no está permitido enviar el tráfico. En el caso de que la dirección IP de una máquina virtual no coincida con la dirección IP en el enlace de direcciones de segmento y de puerto lógico correspondiente de Spoofguard, la vNIC de la máquina virtual no podrá acceder a la red por completo. Spoofguard se puede configurar en el nivel del puerto o del segmento. Hay varias razones por las que podría utilizar SpoofGuard en su entorno:
  • Evitar que una máquina virtual no autorizada suplante la dirección IP de una máquina virtual existente.
  • Garantizar que las direcciones IP de las máquinas virtuales no se puedan modificar sin intervención. En algunos entornos, es preferible que las máquinas virtuales no puedan modificar sus direcciones IP sin cambiar correctamente la revisión de control. Para ello, SpoofGuard garantiza que el propietario de la máquina virtual no pueda modificar la dirección IP y seguir trabajando sin impedimentos.
  • Garantizar que las reglas de Distributed Firewall (DFW) no se omitan involuntariamente (o deliberadamente). En el caso de las reglas de DFW que se creen con conjuntos de direcciones IP como orígenes o destinos, siempre cabe la posibilidad de que una máquina virtual pueda tener su dirección IP falsificada en el encabezado del paquete y, por tanto, se omitan las reglas en cuestión.

La configuración de SpoofGuard de NSX-T Data Center incluye lo siguiente:

  • SpoofGuard de direcciones MAC: autentica la dirección MAC del paquete.
  • SpoofGuard de direcciones IP: autentica las direcciones IP y MAC del paquete.

  • Inspección del protocolo de resolución de direcciones dinámicas (ARP), es decir, la validación de SpoofGuard de descubrimiento cercano (ND) y de SpoofGuard del protocolo de resolución de direcciones gratuito (GARP) y del ARP contradice la asignación del origen de direcciones IP-MAC, el origen de direcciones MAC y el origen de direcciones IP en la carga de ARP/GARP/ND.

En el nivel del puerto, la lista de MAC/VLAN/IP permitidas se proporciona a través de la propiedad de enlaces de direcciones del puerto. Cuando la máquina virtual envía tráfico, se descarta si su IP/MAC/VLAN no coincide con las propiedades de IP/MAC/VLAN del puerto. SpoofGuard del nivel del puerto se ocupa de la autenticación del tráfico (por ejemplo, la consistencia del tráfico con la configuración VIF).

En el nivel del segmento, la lista de MAC/VLAN/IP permitidas se proporciona a través de la propiedad de enlaces de direcciones del segmento. Suele ser una subred o un rango de IP permitidos del segmento, mientras que la instancia de Spoofguard del nivel del segmento se ocupa de la autorización del tráfico.

Spoofguard del nivel del segmento y del nivel del puerto debe permitir el tráfico antes de que se permita en el segmento. Puede controlar la habilitación o la deshabilitación de Spoofguard del nivel del segmento o del puerto con el perfil de segmento de Spoofguard.