SpoofGuard permet d'éviter une forme d'attaque malveillante appelée « falsification Web » ou « hameçonnage ». Une stratégie SpoofGuard bloque le trafic considéré comme falsifié.
- Il empêche une machine virtuelle non autorisée de supposer l'adresse IP d'une VM existante.
- Il garantit que les adresses IP de machines virtuelles ne peuvent pas être modifiées sans intervention : dans certains environnements, il est préférable que les machines virtuelles ne puissent pas modifier leurs adresses IP sans un examen correct du contrôle des modifications. SpoofGuard facilite cela en s'assurant que le propriétaire de la machine virtuelle ne peut pas simplement modifier l'adresse IP et continuer à travailler sans problème.
- Il garantit que les règles DFW (Distributed Firewall) ne seront pas contournées par inadvertance (ou délibérément) : pour les règles DFW créées à l'aide d'ensembles d'IP comme sources ou destinations, il existe toujours une possibilité que l'adresse IP d'une machine virtuelle puisse être falsifiée dans l'en-tête de paquet, ce qui contourne les règles en question.
La configuration SpoofGuard de NSX-T Data Center couvre les points suivants :
- SpoofGuard MAC : authentifie l'adresse MAC d'un paquet
- SpoofGuard IP : authentifie les adresses MAC et IP d'un paquet
-
L'inspection ARP (Address Resolution Protocol) dynamique, la validation SpoofGuard GARP (Gratuitous Address Resolution Protocol) et ND (Neighbor Discovery) se font toutes par rapport au mappage source MAC, source IP et source IP-MAC dans la charge utile ARP/GARP/ND.
Au niveau du port, la liste d'autorisation de MAC/VLAN/IP autorisés est fournie via la propriété Liaisons d'adresses du port. Lorsque la machine virtuelle envoie du trafic, elle est abandonnée si son IP/MAC/VLAN ne correspond pas aux propriétés IP/MAC/VLAN du port. SpoofGuard de niveau port traite l'authentification du trafic, c'est-à-dire qu'il regarde si le trafic est cohérent avec la configuration de VIF.
Au niveau du commutateur, la liste d'autorisation de MAC/VLAN/IP autorisés est fournie via la propriété Liaisons d'adresses du commutateur. En général, il s'agit d'une plage d'adresses IP/sous-réseau autorisé pour le commutateur et SpoofGuard de niveau commutateur traite l'autorisation du trafic.
Le trafic doit être autorisé par SpoofGuard de niveau port ET de niveau commutateur avant qu'il soit autorisé dans le commutateur. L'activation ou la désactivation de SpoofGuard de niveau port et commutateur peut être contrôlée à l'aide du profil de commutateur SpoofGuard.