Puede proteger el tráfico del conmutador estándar contra ataques de Capa 2 restringiendo algunos de los modos de dirección MAC de los adaptadores de red de máquina virtual.
Cada adaptador de red de máquina virtual tiene una dirección MAC inicial y una dirección MAC efectiva.
- Dirección MAC inicial
- La dirección MAC inicial se asigna con la creación del adaptador. Si bien la dirección MAC inicial puede volver a configurarse desde afuera del sistema operativo invitado, este sistema no puede modificarla.
- Dirección MAC efectiva
- Cada adaptador tiene una dirección MAC efectiva que filtra el tráfico de red entrante con una dirección MAC de destino distinta de la dirección MAC efectiva. El sistema operativo invitado es responsable de configurar la dirección MAC efectiva y, por lo general, hace coincidir la dirección MAC efectiva con la dirección MAC inicial.
Al crear un adaptador de red de máquina virtual, la dirección MAC efectiva y la dirección MAC inicial son iguales. El sistema operativo invitado puede modificar la dirección MAC efectiva con otro valor en cualquier momento. Si el sistema operativo modifica la dirección MAC efectiva, su adaptador de red recibe el tráfico de red destinado para la nueva dirección MAC.
Cuando se envían paquetes a través del adaptador de red, el sistema operativo invitado por lo general coloca su propia dirección MAC efectiva de adaptador en el campo de la dirección MAC de origen de las tramas Ethernet. Coloca la dirección MAC del adaptador de red receptor en el campo de la dirección MAC de destino. El adaptador receptor acepta los paquetes únicamente si la dirección MAC de destino del paquete coincide con su propia dirección MAC efectiva.
El sistema operativo puede enviar tramas con una dirección MAC de origen suplantada. Por lo tanto, un sistema operativo puede suplantar a un adaptador de red que haya autorizado la red receptora y llevar a cabo ataques maliciosos en los dispositivos de una red.
Puede proteger el tráfico virtual contra ataques de suplantación e intercepción de la Capa 2 si configura una directiva de seguridad en los puertos o grupos de puertos.
La directiva de seguridad en los puertos y grupos de puertos distribuidos incluye las siguientes opciones:
- Cambios en la dirección MAC (consulte Cambios de dirección MAC).
- Modo promiscuo (consulte Operación en modo promiscuo).
- Transmisiones falsificadas (consulte Transmisiones falsificadas).
Puede ver y cambiar la configuración predeterminada si selecciona el conmutador virtual asociado con el host desde vSphere Client. Consulte el documento Redes de vSphere.