Une règle de sécurité réseau assure la protection du trafic contre l'emprunt d'identité d'adresse MAC et le balayage de port indésirable.

La règle de sécurité d'un commutateur standard ou distribué est mise en œuvre au niveau de la couche 2 (couche de liaison de données) de la pile de protocole réseau. Les trois éléments de la stratégie de sécurité sont le mode Proximité, les changements d'adresse MAC et les Transmissions forgées. Pour plus d'informations sur les menaces réseau potentielles, consultez la documentation de Sécurité vSphere.

Configurer la stratégie de sécurité d'un groupe de ports standard ou d'un commutateur vSphere standard

Sur un commutateur standard vSphere, vous pouvez configurer la règle de sécurité permettant d'interdire les modifications d'adresse MAC et l'activation du mode promiscuité sur le système d'exploitation invité d'une machine virtuelle. Vous pouvez remplacer la règle de sécurité héritée du commutateur standard sur des groupes de ports individuels.

Procédure

  1. Dans vSphere Client, accédez à l'hôte.
  2. Dans l'onglet Configurer, développez l'option Mise en réseau et sélectionnez Commutateurs virtuels.
  3. Accédez à la stratégie de sécurité sur le groupe de ports ou le commutateur standard.
    Option Action
    Commutateur standard vSphere
    1. Sélectionnez un commutateur standard dans la liste.
    2. Cliquez sur Edit settings.
    3. Sélectionnez Sécurité.
    Groupe de ports standard
    1. Sélectionnez le commutateur standard sur lequel réside le groupe de ports.
    2. Dans le diagramme de topologie, sélectionnez un groupe de ports standard.
    3. Cliquez sur Edit settings.
    4. Sélectionnez Sécurité, puis Remplacer en regard des options que vous souhaitez remplacer.
  4. Interdisez ou autorisez l'activation du mode promiscuité ou les modifications d'adresse MAC sur le système d'exploitation invité des machines virtuelles reliées au commutateur ou au groupe de ports standard.
    Option Description
    Mode promiscuité
    • Rejeter. L'adaptateur réseau de la machine virtuelle ne reçoit que les trames adressées à la machine virtuelle.
    • Accepter. Le commutateur virtuel transmet toutes les trames à la machine virtuelle conformément à la stratégie VLAN active du port auquel l'adaptateur réseau de la machine virtuelle est connecté.
    Note : Le mode promiscuité est un mode de fonctionnement non sécurisé. Les pare-feu, scanners de ports, systèmes de détection d'intrusion, doivent s'exécuter en mode promiscuité.
    Modifications d'adresse MAC
    • Rejeter. Si le système d'exploitation invité remplace l'adresse MAC effective de la machine virtuelle par une valeur différente de l'adresse MAC de l'adaptateur réseau de la machine virtuelle, le commutateur rejette toutes les trames entrantes de l'adaptateur.

      Si le système d'exploitation invité remplace à nouveau l'adresse MAC effective de la machine virtuelle par l'adresse MAC de l'adaptateur réseau de la machine virtuelle, la machine virtuelle reçoit de nouveau les trames.

    • Accepter. Si le système d'exploitation invité remplace l'adresse MAC effective de la machine virtuelle par une valeur différente de l'adresse MAC de l'adaptateur réseau de la machine virtuelle, le commutateur autorise la transmission des trames vers la nouvelle adresse.
    Transmissions forgées
    • Rejeter. Le commutateur ignore toutes les trames sortantes provenant d'un adaptateur de machine virtuelle dont l'adresse MAC source est différente de celle qui figure dans le fichier de configuration .vmx.
    • Accepter. Le commutateur n'effectue pas de filtrage et autorise toutes les trames sortantes.
    État Activez ou désactivez la fonctionnalité d'apprentissage MAC. La valeur par défaut est Désactivé.
    Autoriser la saturation monodiffusion Lorsqu'un paquet reçu par un port a une adresse MAC de destination inconnue, le paquet est abandonné. Lorsque la propagation monodiffusion inconnue est activée, le port propage le trafic de monodiffusion inconnue à chaque port du commutateur sur lequel l'apprentissage MAC et la propagation monodiffusion inconnue sont activés. Cette propriété est activée par défaut si l'apprentissage MAC est activé.
    Limite MAC Le nombre d'adresses MAC pouvant être apprises est configurable. La valeur maximale est 4 096, selon le port, cette valeur est prise par défaut.
    Stratégie de limite MAC Stratégie à appliquer lorsque la limite MAC est atteinte. Les options sont :
    • Annuler : les paquets provenant d'une adresse MAC source inconnue sont annulés. Les paquets entrants sur cette adresse MAC seront traités comme des monodiffusions inconnues. Le port recevra les paquets uniquement si la propagation monodiffusion inconnue est activée.
    • Autoriser : les paquets provenant d'une adresse MAC source inconnue sont transférés bien que l'adresse ne soit pas apprise. Les paquets entrants sur cette adresse MAC seront traités comme des monodiffusions inconnues. Le port recevra les paquets uniquement si la propagation monodiffusion inconnue est activée.
  5. Cliquez sur OK.

Configurer la règle de sécurité d'un port distribué ou d'un groupe de ports distribués

Définissez une règle de sécurité sur un groupe de ports distribués pour autoriser ou interdire le mode de promiscuité et les modifications d'adresse MAC pour le système d'exploitation invité des machines virtuelles associées au groupe de ports. Vous pouvez remplacer la règle de sécurité héritée des groupes de ports distribués ou de ports individuels.

Conditions préalables

Pour remplacer une stratégie au niveau d'un port distribué, activez l'option de remplacement au niveau du port de cette stratégie. Reportez-vous à la section Configurer le remplacement des stratégies de mise en réseau au niveu des ports.

Procédure

  1. Dans la page d'accueil de vSphere Client, cliquez sur Mise en réseau et accédez au commutateur distribué.
  2. Accédez à la règle de sécurité configurée sur le port distribué ou le groupe de ports distribués.
    Option Action
    Groupe de ports distribués
    1. Dans le menu Actions, sélectionnez Groupe de ports distribués > Gérer des groupes de ports distribués.
    2. Sélectionnez Sécurité et cliquez sur Suivant.
    3. Sélectionnez le groupe de ports et cliquez sur Suivant.
    Port distribué
    1. Dans l'onglet Réseaux, cliquez sur Groupes de ports distribués et faites un double clic sur un groupe de ports distribués.
    2. Dans l'onglet Ports, sélectionnez un port et cliquez sur l'icône Modifier les paramètres.
    3. Sélectionnez Sécurité.
    4. Sélectionnez Remplacer en regard des propriétés à remplacer.
  3. Interdisez ou autorisez l'activation du mode promiscuité ou les modifications d'adresse MAC sur le système d'exploitation invité des machines virtuelles reliées au port distribué ou au groupe de ports distribués.
    Option Description
    Mode promiscuité
    • Rejeter. L'adaptateur réseau de la machine virtuelle ne reçoit que les trames adressées à la machine virtuelle.
    • Accepter. Le commutateur virtuel transmet toutes les trames à la machine virtuelle conformément à la stratégie VLAN active du port auquel l'adaptateur réseau de la machine virtuelle est connecté.
    Note : Le mode promiscuité est un mode de fonctionnement non sécurisé. Les pare-feu, scanners de ports, systèmes de détection d'intrusion, doivent s'exécuter en mode promiscuité.
    Modifications d'adresse MAC
    • Rejeter. Si le système d'exploitation invité remplace l'adresse MAC effective de la machine virtuelle par une valeur différente de l'adresse MAC de l'adaptateur réseau de la machine virtuelle, le commutateur rejette toutes les trames entrantes de l'adaptateur.

      Si le système d'exploitation invité remplace à nouveau l'adresse MAC effective de la machine virtuelle par l'adresse MAC de l'adaptateur réseau de la machine virtuelle, la machine virtuelle reçoit de nouveau les trames.

    • Accepter. Si le système d'exploitation invité remplace l'adresse MAC effective de la machine virtuelle par une valeur différente de l'adresse MAC de l'adaptateur réseau de la machine virtuelle, le commutateur autorise la transmission des trames vers la nouvelle adresse.
    Transmissions forgées
    • Rejeter. Le commutateur ignore toutes les trames sortantes provenant d'un adaptateur de machine virtuelle dont l'adresse MAC source est différente de celle qui figure dans le fichier de configuration .vmx.
    • Accepter. Le commutateur n'effectue pas de filtrage et autorise toutes les trames sortantes.
    État Activez ou désactivez la fonctionnalité d'apprentissage MAC. La valeur par défaut est Désactivé.
    Autoriser la saturation monodiffusion Lorsqu'un paquet reçu par un port a une adresse MAC de destination inconnue, le paquet est abandonné. Lorsque la propagation monodiffusion inconnue est activée, le port propage le trafic de monodiffusion inconnue à chaque port du commutateur sur lequel l'apprentissage MAC et la propagation monodiffusion inconnue sont activés. Cette propriété est activée par défaut si l'apprentissage MAC est activé.
    Limite MAC Le nombre d'adresses MAC pouvant être apprises est configurable. La valeur maximale est 4 096, selon le port, cette valeur est prise par défaut.
    Stratégie de limite MAC Stratégie à appliquer lorsque la limite MAC est atteinte. Les options sont :
    • Annuler : les paquets provenant d'une adresse MAC source inconnue sont annulés. Les paquets entrants sur cette adresse MAC seront traités comme des monodiffusions inconnues. Le port recevra les paquets uniquement si la propagation monodiffusion inconnue est activée.
    • Autoriser : les paquets provenant d'une adresse MAC source inconnue sont transférés bien que l'adresse ne soit pas apprise. Les paquets entrants sur cette adresse MAC seront traités comme des monodiffusions inconnues. Le port recevra les paquets uniquement si la propagation monodiffusion inconnue est activée.
  4. Vérifiez vos paramètres et appliquez la configuration.