Puede proteger el tráfico del conmutador estándar contra ataques de Capa 2 restringiendo algunos de los modos de dirección MAC de los adaptadores de red de máquina virtual.
Cada adaptador de red de máquina virtual tiene una dirección MAC inicial y una dirección MAC efectiva.
Dirección MAC inicial
La dirección MAC inicial se asigna con la creación del adaptador. Si bien la dirección MAC inicial puede volver a configurarse desde afuera del sistema operativo invitado, este sistema no puede modificarla.
Dirección MAC efectiva
Cada adaptador tiene una dirección MAC efectiva que filtra el tráfico de red entrante con una dirección MAC de destino distinta de la dirección MAC efectiva. El sistema operativo invitado es responsable de configurar la dirección MAC efectiva y, por lo general, hace coincidir la dirección MAC efectiva con la dirección MAC inicial.
Qué sucede al crear un adaptador de red de máquina virtual
Al crear un adaptador de red de máquina virtual, la dirección MAC efectiva y la dirección MAC inicial son iguales. El sistema operativo invitado puede modificar la dirección MAC efectiva con otro valor en cualquier momento. Si el sistema operativo modifica la dirección MAC efectiva, su adaptador de red recibe el tráfico de red destinado para la nueva dirección MAC.
Cuando se envían paquetes a través del adaptador de red, el sistema operativo invitado por lo general coloca su propia dirección MAC efectiva de adaptador en el campo de la dirección MAC de origen de las tramas Ethernet. Coloca la dirección MAC del adaptador de red receptor en el campo de la dirección MAC de destino. El adaptador receptor acepta los paquetes únicamente si la dirección MAC de destino del paquete coincide con su propia dirección MAC efectiva.
El sistema operativo puede enviar tramas con una dirección MAC de origen suplantada. Por lo tanto, un sistema operativo puede suplantar a un adaptador de red que haya autorizado la red receptora y llevar a cabo ataques maliciosos en los dispositivos de una red.
Usar directivas de seguridad para proteger puertos y grupos
Puede proteger el tráfico virtual contra ataques de suplantación e intercepción de la Capa 2 si configura una directiva de seguridad en los puertos o grupos de puertos.
La directiva de seguridad en los puertos y grupos de puertos distribuidos incluye las siguientes opciones:
- Cambios en la dirección MAC (consulte Cambios de dirección MAC).
- Modo promiscuo (consulte Operación en modo promiscuo).
- Transmisiones falsificadas (consulte Transmisiones falsificadas).
Puede ver y cambiar la configuración predeterminada si selecciona el conmutador virtual asociado con el host desde vSphere Client. Consulte el documento Redes de vSphere.
Cambios de dirección MAC
La directiva de seguridad de un conmutador virtual incluye la opción Cambios de dirección MAC. Esta opción permite que las máquinas virtuales reciban tramas con una dirección Mac diferente de la configurada en VMX.
Cuando la opción Cambios de dirección MAC está establecida en Aceptar, ESXi acepta las solicitudes para cambiar la dirección MAC efectiva de una máquina virtual por una dirección diferente a la inicial.
Cuando la opción Cambios de dirección MAC está establecida en Rechazar, ESXi no admite las solicitudes para cambiar la dirección MAC efectiva de una máquina virtual por una dirección diferente a la inicial. Esta configuración protege el host de la suplantación de MAC. El puerto que utilizó el adaptador de la máquina virtual para enviar la solicitud se desactiva, y el adaptador de la máquina virtual no recibe más tramas hasta que la dirección MAC efectiva coincida con la dirección MAC inicial. El sistema operativo invitado no detecta el rechazo de la solicitud de cambio de dirección MAC.
En ciertos casos, puede que realmente necesite que más de un adaptador tenga la misma dirección MAC en una red (por ejemplo, si utiliza el equilibrio de carga de red de Microsoft en modo de unidifusión). Cuando el equilibrio de carga de red de Microsoft se utiliza en el modo de multidifusión estándar, los adaptadores no comparten las direcciones MAC.
Transmisiones falsificadas
La opción Transmisiones falsificadas afecta el tráfico que se transmite desde una máquina virtual.
Cuando la opción Transmisiones falsificadas está establecida en Aceptar, ESXi no compara las direcciones MAC de origen y efectivas.
Para evitar la suplantación de MAC, puede establecer la opción Transmisiones falsificadas en Rechazar. Si lo hace, el host compara la dirección MAC de origen que transmite el sistema operativo invitado con la dirección MAC efectiva de su adaptador de máquina virtual para ver si coinciden. Si las direcciones no coinciden, el host ESXi descarta el paquete.
El sistema operativo invitado no detecta que su adaptador de máquina virtual no puede enviar paquetes con la dirección MAC suplantada. El host ESXi intercepta los paquetes con direcciones suplantadas antes de que estos se envíen, y el sistema operativo invitado puede asumir que los paquetes se descartan.
Operación en modo promiscuo
El modo promiscuo quita el filtrado de recepción que realiza el adaptador de la máquina virtual a fin de que el sistema operativo invitado reciba todo el tráfico que se observa en la conexión. De forma predeterminada, el adaptador de la máquina virtual no puede operar en modo promiscuo.
A pesar de que el modo promiscuo puede ser útil para hacer un seguimiento de la actividad de la red, es un modo de operación no seguro, ya que cualquier adaptador en modo promiscuo tiene acceso a los paquetes, incluso si algunos de estos paquetes se reciben solamente en un adaptador de red en particular. Esto significa que un administrador o un usuario raíz que estén en una máquina virtual pueden ver potencialmente el tráfico destinado a otros sistemas operativos host o invitados.
Consulte el tema sobre cómo configurar la directiva de seguridad para un conmutador estándar de vSphere o un grupo de puertos estándar en la documentación de Redes de vSphere, para obtener información sobre cómo configurar el adaptador de máquina virtual para el modo promiscuo.