SpoofGuard ayuda a evitar un ataque malicioso denominado "suplantación de páginas web" o "suplantación de identidad" (phishing). Una directiva SpoofGuard bloquea el tráfico que se determina que se va a suplantar.

SpoofGuard es una herramienta diseñada para evitar que las máquinas virtuales de su entorno envíen tráfico con una dirección IP desde la que no está permitido finalizar el tráfico. En el caso de que una dirección IP de la máquina virtual no coincida con la dirección IP del puerto lógico y los enlaces de direcciones del conmutador correspondientes de SpoofGuard, la vNIC de la máquina virtual no podrá acceder a la red por completo. SpoofGuard se puede configurar en el nivel del puerto o del conmutador. Hay varias razones por las que podría utilizar SpoofGuard en su entorno:

  • Evitar que una máquina virtual no autorizada suplante la dirección IP de una máquina virtual existente.

  • Garantizar que las direcciones IP de las máquinas virtuales no se puedan modificar sin intervención. En algunos entornos, es preferible que las máquinas virtuales no puedan modificar sus direcciones IP sin cambiar correctamente la revisión de control. Para ello, SpoofGuard garantiza que el propietario de la máquina virtual no pueda modificar la dirección IP y seguir trabajando sin impedimentos.

  • Garantizar que las reglas de Distributed Firewall (DFW) no se omitan involuntariamente (o deliberadamente). En el caso de las reglas de DFW que se creen con conjuntos de direcciones IP como orígenes o destinos, siempre cabe la posibilidad de que una máquina virtual pueda tener su dirección IP falsificada en el encabezado del paquete y, por tanto, se omitan las reglas en cuestión.

La configuración de SpoofGuard de NSX-T incluye lo siguiente:

  • SpoofGuard de direcciones MAC: autentica la dirección MAC del paquete.

  • SpoofGuard de direcciones IP: autentica las direcciones IP y MAC del paquete.

  • Inspección del protocolo de resolución de direcciones dinámicas (ARP), es decir, la validación de SpoofGuard de descubrimiento cercano (ND) y de SpoofGuard del protocolo de resolución de direcciones gratuito (GARP) y del ARP contradice la asignación del origen de direcciones IP-MAC, el origen de direcciones MAC y el origen de direcciones IP en la carga de ARP/GARP/ND.

En el nivel del puerto, la lista blanca de MAC/VLAN/IP permitidas se proporciona a través de la propiedad de enlaces de direcciones del puerto. Cuando la máquina virtual envía tráfico, se descarta si su IP/MAC/VLAN no coincide con las propiedades de IP/MAC/VLAN del puerto. SpoofGuard del nivel del puerto se ocupa de la autenticación del tráfico (por ejemplo, la consistencia del tráfico con la configuración VIF).

En el nivel del conmutador, la lista blanca de MAC/VLAN/IP permitidas se proporciona a través de la propiedad de enlaces de direcciones del conmutador. Suele ser una subred o un rango de IP permitidos del conmutador, mientras que el SpoofGuard del nivel del conmutador se ocupa de la autorización del tráfico.

SpoofGuard del nivel del conmutador Y del nivel del puerto deben permitir el tráfico antes de que se permita en el conmutador. Puede controlar si habilita o deshabilita SpoofGuard del nivel del conmutador o del puerto con el perfil de conmutador de SpoofGuard.