Al igual que con los adaptadores de red física, un adaptador de red virtual puede enviar tramas que aparentemente provienen de otra máquina o suplantar otra máquina. Además, al igual que los adaptadores de red física, un adaptador de red virtual puede configurarse para que reciba tramas destinadas a otras máquinas.
Cuando se crea un conmutador estándar, se agregan grupos de puertos para imponer una configuración de políticas para las máquinas virtuales y los sistemas de almacenamiento conectados al conmutador. Los puertos virtuales se crean por medio de vSphere Web Client o de vSphere Client.
Mientras agrega un puerto o grupo de puertos estándar a un conmutador estándar, vSphere Client configura un perfil de seguridad para el puerto. El host luego puede evitar que cualquiera de sus máquinas virtuales suplante otras máquinas de la red. El sistema operativo invitado que es responsable de la suplantación no detecta que se evitó la suplantación.
El perfil de seguridad determina con qué rigidez el host aplica la protección contra ataques de suplantación e interceptación en las máquinas virtuales. Para usar correctamente la configuración en el perfil de seguridad, debe comprender los aspectos básicos del modo en que los adaptadores de red virtual controlan las transmisiones y de cómo se manipulan los ataques en este nivel.
A cada adaptador de red virtual se le asigna una dirección MAC cuando se crea el adaptador. Se denomina dirección MAC inicial. Si bien la dirección MAC inicial se puede volver a configurar desde fuera del sistema operativo invitado, ese sistema no podrá cambiarla. Además, cada adaptador tiene una dirección MAC efectiva que filtra el tráfico de red entrante con una dirección MAC de destino, que no es la dirección MAC efectiva. El sistema operativo invitado tiene la responsabilidad de configurar la dirección MAC efectiva. Por lo general, la dirección MAC efectiva coincide con la dirección MAC inicial.
Cuando se envían paquetes, el sistema operativo normalmente agrega la propia dirección MAC efectiva del adaptador de red en el campo de la dirección MAC de origen de la trama Ethernet. También agrega la dirección MAC para el adaptador de red de recepción en el campo de la dirección MAC de destino. El adaptador de recepción acepta paquetes únicamente cuando la dirección MAC de destino del paquete coincide con su propia dirección MAC efectiva.
Después de la creación, la dirección MAC efectiva del adaptador de red y la dirección MAC inicial son las mismas. El sistema operativo de la máquina virtual puede cambiar los valores de la dirección MAC efectiva en cualquier momento. Si un sistema operativo cambia la dirección MAC efectiva, el adaptador de red recibe el tráfico de red destinado para la nueva dirección MAC. El sistema operativo puede, en cualquier momento, enviar tramas con una dirección MAC de origen suplantada. Esto significa que el sistema operativo puede manipular los ataques maliciosos en los dispositivos de una red mediante la suplantación del adaptador de red que autorice la red de recepción.
Los perfiles de seguridad del conmutador estándar se pueden usar en los hosts para protegerlo de este tipo de ataque. Deben configurarse tres opciones. Si se altera cualquiera de los ajustes predeterminados para un puerto, el perfil de seguridad deberá modificarse con la edición de los ajustes del conmutador estándar en vSphere Client.