La directiva de seguridad de redes ayuda a proteger el tráfico contra la suplantación de direcciones MAC y la exploración de puertos no deseada.
La directiva de seguridad de un conmutador estándar o distribuido se implementa en la Capa 2 (capa de vínculo de datos) de la pila del protocolo de red. Los tres elementos de la directiva de seguridad son el modo promiscuo, los cambios de dirección MAC y las transmisiones falsificadas. Consulte la documentación de Seguridad de vSphere para obtener información sobre posibles amenazas para las redes.
Configurar la directiva de seguridad de vSphere Standard Switch o un grupo de puertos estándar
En vSphere Standard Switch, puede configurar para que la directiva de seguridad rechace los cambios de dirección MAC y de modo promiscuo en el sistema operativo invitado de una máquina virtual. Puede anular la directiva de seguridad que se hereda del conmutador estándar en grupos de puertos individuales.
Procedimiento
- En vSphere Client, desplácese hasta el host.
- En la pestaña Configurar, expanda Redes y seleccione Conmutadores virtuales.
- Desplácese hasta la directiva de seguridad del conmutador o del grupo de puertos estándar.
Opción Acción Conmutador estándar de vSphere - Seleccione de la lista un conmutador estándar.
- Haga clic en Editar configuración.
- Seleccione Seguridad.
Grupo de puertos estándar - Seleccione el conmutador estándar donde reside el grupo de puertos.
- En el diagrama de topología, seleccione un grupo de puertos estándar.
- Haga clic en Editar configuración.
- Seleccione Seguridad y, a continuación, Anular junto a las opciones que desee anular.
- Rechace o acepte la activación del modo promiscuo o los cambios de dirección MAC en el sistema operativo invitado de las máquinas virtuales asociadas al conmutador o al grupo de puertos estándar.
Opción Descripción Modo promiscuo - Rechazar. El adaptador de red de máquina virtual recibe únicamente tramas dirigidas a la máquina virtual.
- Aceptar. El conmutador virtual envía todas las tramas a la máquina virtual de acuerdo con la directiva de VLAN vigente para el puerto en el cual está conectado el adaptador de red de máquina virtual.
Nota: El modo promiscuo no es un modo seguro de funcionamiento. Los firewall, los escáneres de puertos y los sistemas de detección de intrusiones deben ejecutarse en modo promiscuo.Cambios de dirección MAC - Rechazar. Si el sistema operativo invitado cambia la dirección MAC efectiva de la máquina virtual a un valor diferente de la dirección MAC del adaptador de red de máquina virtual, el conmutador descarta todas las tramas entrantes al adaptador.
Si el sistema operativo invitado vuelve a cambiar la dirección MAC efectiva de la máquina virtual a la dirección MAC del adaptador de red de máquina virtual, la máquina virtual recibe las tramas nuevamente.
- Aceptar. Si el sistema operativo invitado cambia la dirección MAC efectiva de la máquina virtual a un valor distinto de la dirección MAC del adaptador de red de máquina virtual, el conmutador permite que pasen las tramas a la dirección nueva.
Transmisiones falsificadas - Rechazar. el conmutador descarta cualquier trama saliente desde el adaptador de máquina virtual con una dirección MAC de origen que sea diferente de la que aparece en el archivo de configuración .vmx.
- Aceptar. El conmutador no filtra y acepta todas las tramas salientes.
Estado Habilite o deshabilite la función para detectar la dirección MAC. Esta opción está deshabilitada de forma predeterminada. Permitir desbordamiento de unidifusión Cuando un paquete recibido por un puerto tiene una dirección MAC de destino desconocido, el paquete se descarta. Cuando el desbordamiento de unidifusión desconocida está habilitado, el puerto envía el tráfico de unidifusión desconocida a cada puerto del conmutador que tenga habilitadas las opciones de desbordamiento de unidifusión desconocida y de aprendizaje de direcciones MAC. Esta propiedad está habilitada de forma predeterminada si la obtención de direcciones MAC está habilitada. Límite de MAC El número de direcciones MAC que se pueden aprender se puede configurar. El valor máximo es 4096 por puerto, que es el valor predeterminado. Directiva de límite de MAC La directiva para cuando se alcanza el límite de MAC. Estas son las opciones: - Anular: Se descartan los paquetes de direcciones MAC de origen desconocido. Los paquetes entrantes dirigidos a esta dirección MAC se tratarán como unidifusión desconocida. El puerto recibirá los paquetes solo si tiene habilitado el desbordamiento de unidifusión desconocida.
- Permitir: Los paquetes procedentes de una dirección MAC de origen desconocido se reenvían, aunque no se conocerá la dirección. Los paquetes entrantes dirigidos a esta dirección MAC se tratarán como unidifusión desconocida. El puerto recibirá los paquetes solo si tiene habilitado el desbordamiento de unidifusión desconocida.
- Haga clic en Aceptar.
Configurar la directiva de seguridad para un puerto distribuido o un grupo de puertos distribuidos
Aprenda a establecer una directiva de seguridad en un grupo de puertos distribuidos para permitir o rechazar el modo promiscuo y los cambios de dirección MAC desde el sistema operativo invitado de las máquinas virtuales asociadas al grupo de puertos. Se puede anular la directiva de seguridad heredada de los grupos de puertos distribuidos en puertos individuales.
Requisitos previos
Para anular una directiva en el nivel del puerto distribuido, habilite la opción de anulación en el nivel de puerto para esta directiva. Consulte Configurar las directivas de red de anulación en los puertos.
Procedimiento
- En la página de inicio de vSphere Client, haga clic en Redes y desplácese al conmutador distribuido.
- Desplácese hasta la directiva de seguridad para el grupo de puertos distribuidos o el puerto distribuido.
Opción Acción Grupo de puertos distribuidos - En el menú Acciones seleccione .
- Seleccione Seguridad y haga clic en Siguiente.
- Seleccione el grupo de puertos y haga clic en Siguiente.
Puerto distribuido - En la pestaña Redes, haga clic en Grupos de puertos distribuidos y, a continuación, haga doble clic en un grupo de puertos distribuidos.
- En la pestaña Puertos, seleccione un puerto y haga clic en el icono Editar configuración.
- Seleccione Seguridad.
- Seleccione Anular junto a las propiedades que desea anular.
- Rechace o acepte la activación del modo promiscuo o los cambios de dirección MAC en el sistema operativo invitado de las máquinas virtuales asociadas al puerto distribuido o al grupo de puertos distribuidos.
Opción Descripción Modo promiscuo - Rechazar. El adaptador de red de máquina virtual recibe únicamente tramas dirigidas a la máquina virtual.
- Aceptar. El conmutador virtual envía todas las tramas a la máquina virtual de acuerdo con la directiva de VLAN vigente para el puerto en el cual está conectado el adaptador de red de máquina virtual.
Nota: El modo promiscuo no es un modo seguro de funcionamiento. Los firewall, los escáneres de puertos y los sistemas de detección de intrusiones deben ejecutarse en modo promiscuo.Cambios de dirección MAC - Rechazar. Si el sistema operativo invitado cambia la dirección MAC efectiva de la máquina virtual a un valor diferente de la dirección MAC del adaptador de red de máquina virtual, el conmutador descarta todas las tramas entrantes al adaptador.
Si el sistema operativo invitado vuelve a cambiar la dirección MAC efectiva de la máquina virtual a la dirección MAC del adaptador de red de máquina virtual, la máquina virtual recibe las tramas nuevamente.
- Aceptar. Si el sistema operativo invitado cambia la dirección MAC efectiva de la máquina virtual a un valor distinto de la dirección MAC del adaptador de red de máquina virtual, el conmutador permite que pasen las tramas a la dirección nueva.
Transmisiones falsificadas - Rechazar. el conmutador descarta cualquier trama saliente desde el adaptador de máquina virtual con una dirección MAC de origen que sea diferente de la que aparece en el archivo de configuración .vmx.
- Aceptar. El conmutador no filtra y acepta todas las tramas salientes.
Estado Habilite o deshabilite la función para detectar la dirección MAC. Esta opción está deshabilitada de forma predeterminada. Permitir desbordamiento de unidifusión Cuando un paquete recibido por un puerto tiene una dirección MAC de destino desconocido, el paquete se descarta. Cuando el desbordamiento de unidifusión desconocida está habilitado, el puerto envía el tráfico de unidifusión desconocida a cada puerto del conmutador que tenga habilitadas las opciones de desbordamiento de unidifusión desconocida y de aprendizaje de direcciones MAC. Esta propiedad está habilitada de forma predeterminada si la obtención de direcciones MAC está habilitada. Límite de MAC El número de direcciones MAC que se pueden aprender se puede configurar. El valor máximo es 4096 por puerto, que es el valor predeterminado. Directiva de límite de MAC La directiva para cuando se alcanza el límite de MAC. Estas son las opciones: - Anular: Se descartan los paquetes de direcciones MAC de origen desconocido. Los paquetes entrantes dirigidos a esta dirección MAC se tratarán como unidifusión desconocida. El puerto recibirá los paquetes solo si tiene habilitado el desbordamiento de unidifusión desconocida.
- Permitir: Los paquetes procedentes de una dirección MAC de origen desconocido se reenvían, aunque no se conocerá la dirección. Los paquetes entrantes dirigidos a esta dirección MAC se tratarán como unidifusión desconocida. El puerto recibirá los paquetes solo si tiene habilitado el desbordamiento de unidifusión desconocida.
- Revise las opciones y aplique la configuración.