SpoofGuard permet d'éviter une forme d'attaque malveillante appelée « falsification Web » ou « hameçonnage ». Une stratégie SpoofGuard bloque le trafic considéré comme falsifié.
- Il empêche une machine virtuelle non autorisée de supposer l'adresse IP d'une VM existante.
- Il garantit que les adresses IP de machines virtuelles ne peuvent pas être modifiées sans intervention : dans certains environnements, il est préférable que les machines virtuelles ne puissent pas modifier leurs adresses IP sans un examen correct du contrôle des modifications. SpoofGuard facilite cela en s'assurant que le propriétaire de la machine virtuelle ne peut pas simplement modifier l'adresse IP et continuer à travailler sans problème.
- Il garantit que les règles DFW (Distributed Firewall) ne seront pas contournées par inadvertance (ou délibérément) : pour les règles DFW créées à l'aide d'ensembles d'IP comme sources ou destinations, il existe toujours une possibilité que l'adresse IP d'une machine virtuelle puisse être falsifiée dans l'en-tête de paquet, ce qui contourne les règles en question.
La configuration SpoofGuard de NSX-T Data Center couvre les points suivants :
- SpoofGuard MAC : authentifie l'adresse MAC d'un paquet
- SpoofGuard IP : authentifie les adresses MAC et IP d'un paquet
-
L'inspection ARP (Address Resolution Protocol) dynamique, la validation SpoofGuard GARP (Gratuitous Address Resolution Protocol) et ND (Neighbor Discovery) se font toutes par rapport au mappage source MAC, source IP et source IP-MAC dans la charge utile ARP/GARP/ND.
Au niveau du port, la liste d'autorisation de MAC/VLAN/IP autorisés est fournie via la propriété Liaisons d'adresses du port. Lorsque la machine virtuelle envoie du trafic, elle est abandonnée si son IP/MAC/VLAN ne correspond pas aux propriétés IP/MAC/VLAN du port. SpoofGuard de niveau port traite l'authentification du trafic, c'est-à-dire qu'il regarde si le trafic est cohérent avec la configuration de VIF.
Au niveau du segment, la liste d'autorisation de MAC/VLAN/IP autorisés est fournie via la propriété Liaisons d'adresses du segment. En général, il s'agit d'une plage d'adresses IP/d'un sous-réseau autorisé pour le segment et SpoofGuard de niveau segment traite l'autorisation du trafic.
Le trafic doit être autorisé par SpoofGuard de niveau port ET de niveau segment avant qu'il soit autorisé dans le segment. L'activation ou la désactivation de SpoofGuard de niveau port et segment peut être contrôlée à l'aide du profil de segment SpoofGuard.