Vous pouvez sécuriser le trafic de commutation standard contre les attaques de couche 2 en limitant certains modes d'adresses MAC des adaptateurs réseau de machine virtuelle.
Chaque adaptateur réseau de machine virtuelle dispose d'une adresse MAC initiale et d'une adresse MAC effective.
- Adresse MAC initiale
- L'adresse MAC initiale est attribuée lors de la création de l'adaptateur. Bien que l'adresse MAC initiale puisse être reconfigurée à partir de l'extérieur du système d'exploitation invité, elle ne peut pas être modifiée par le système d'exploitation invité.
- Adresse MAC effective
- Chaque adaptateur dispose d'une adresse MAC effective qui filtre le trafic réseau entrant avec une adresse MAC de destination différente de l'adresse MAC effective. Le système d'exploitation invité est responsable de la définition de l'adresse MAC effective et fait généralement correspondre l'adresse MAC effective à l'adresse MAC initiale.
Lors de la création d'un adaptateur réseau de machine virtuelle, l'adresse MAC effective et l'adresse MAC initiale sont identiques. Le système d'exploitation invité peut à tout moment remplacer l'adresse MAC effective par une autre valeur. Si un système d'exploitation modifie l'adresse MAC effective, son adaptateur réseau reçoit le trafic réseau destiné à la nouvelle adresse MAC.
Lors de l'envoi de paquets via un adaptateur réseau, le système d'exploitation invité place généralement sa propre adresse MAC effective de l'adaptateur dans la zone de l'adresse MAC source des trames Ethernet. Il place l'adresse MAC de l'adaptateur réseau récepteur dans la zone d'adresse MAC de destination. L'adaptateur récepteur accepte les paquets uniquement si l'adresse MAC de destination du paquet correspond à sa propre adresse MAC effective.
Un système d'exploitation peut envoyer des trames avec une adresse MAC source usurpée. Un système d'exploitation peut donc emprunter l'identité d'un adaptateur réseau que le réseau récepteur autorise et planifier des attaques malveillantes sur les périphériques dans un réseau.
Protégez le trafic virtuel contre l'emprunt d'identité et les attaques de couche 2 d'interception en configurant une stratégie de sécurité sur les groupes de ports ou les ports.
La stratégie de sécurité sur les groupes de ports distribués et les ports inclut les options suivantes :
- Modifications d'adresse MAC (reportez-vous à Modifications d'adresse MAC)
- Mode Proximité (reportez-vous à Fonctionnement en mode promiscuité)
- Transmissions forgées (reportez-vous à Transmissions forgées)
Vous pouvez afficher et modifier les paramètres par défaut en sélectionnant le commutateur virtuel associé à l'hôte dans vSphere Client. Reportez-vous à la documentation Mise en réseau vSphere.