Vous pouvez sécuriser le trafic de commutation standard contre les attaques de couche 2 en limitant certains modes d'adresses MAC.

Chaque adaptateur réseau de la machine virtuelle dispose d'une adresse MAC initiale et d'une adresse MAC effective.

Adresse MAC initiale

L'adresse MAC initiale est attribuée lors de la création de l'adaptateur. Bien que l'adresse MAC initiale puisse être reconfigurée à partir de l'extérieur du système d'exploitation invité, elle ne peut pas être modifiée par le système d'exploitation invité.

Adresse MAC effective

Chaque adaptateur dispose d'une adresse MAC effective qui filtre le trafic réseau entrant avec une adresse MAC de destination différente de l'adresse MAC effective. Le système d'exploitation invité est responsable de la définition de l'adresse MAC effective et fait généralement correspondre l'adresse MAC effective à l'adresse MAC initiale.

Lors de la création de l'adaptateur réseau d'une machine virtuelle, l'adresse MAC effective et l'adresse MAC initiale sont identiques. Le système d'exploitation invité peut à tout moment remplacer l'adresse MAC effective par une autre valeur. Si un système d'exploitation modifie l'adresse MAC effective, son adaptateur réseau reçoit le trafic réseau destiné à la nouvelle adresse MAC.

Lors de l'envoi de paquets via un adaptateur réseau, le système d'exploitation invité place généralement sa propre adresse MAC effective de l'adaptateur dans la zone de l'adresse MAC source des trames Ethernet. Il place l'adresse MAC de l'adaptateur réseau récepteur dans la zone d'adresse MAC de destination. L'adaptateur récepteur accepte les paquets uniquement si l'adresse MAC de destination du paquet correspond à sa propre adresse MAC effective.

Un système d'exploitation peut envoyer des trames avec une adresse MAC source usurpée. Cela signifie qu'un système d'exploitation peut bloquer les attaques nuisibles sur les périphériques dans un réseau en empruntant l'identité d'un adaptateur réseau que le réseau récepteur autorise.

Vous pouvez sécuriser le trafic via les commutateurs standard contre ce type d'attaques de couche 2 en limitant les modes suivants :

  • Mode promiscuité

  • Modifications d'adresse MAC

  • Transmission forgée

Pour modifier les paramètres par défaut d'un port, modifiez la stratégie de sécurité du commutateur standard ou du groupe de ports dans vSphere Web Client.