Vous pouvez sécuriser le trafic de commutation standard contre les attaques de couche 2 en limitant certains modes d'adresses MAC des adaptateurs réseau de machine virtuelle.

Chaque adaptateur réseau de machine virtuelle dispose d'une adresse MAC initiale et d'une adresse MAC effective.

Adresse MAC initiale

L'adresse MAC initiale est attribuée lors de la création de l'adaptateur. Bien que l'adresse MAC initiale puisse être reconfigurée à partir de l'extérieur du système d'exploitation invité, elle ne peut pas être modifiée par le système d'exploitation invité.

Adresse MAC effective

Chaque adaptateur dispose d'une adresse MAC effective qui filtre le trafic réseau entrant avec une adresse MAC de destination différente de l'adresse MAC effective. Le système d'exploitation invité est responsable de la définition de l'adresse MAC effective et fait généralement correspondre l'adresse MAC effective à l'adresse MAC initiale.

Que se passe-t-il lorsque vous créez un adaptateur réseau de machine virtuelle ?

Lors de la création d’un adaptateur réseau de machine virtuelle, l’adresse MAC effective et l’adresse MAC initiale sont les mêmes. Le système d'exploitation invité peut à tout moment remplacer l'adresse MAC effective par une autre valeur. Si un système d'exploitation modifie l'adresse MAC effective, son adaptateur réseau reçoit le trafic réseau destiné à la nouvelle adresse MAC.

Lors de l'envoi de paquets via un adaptateur réseau, le système d'exploitation invité place généralement sa propre adresse MAC effective de l'adaptateur dans la zone de l'adresse MAC source des trames Ethernet. Il place l'adresse MAC de l'adaptateur réseau récepteur dans la zone d'adresse MAC de destination. L'adaptateur récepteur accepte les paquets uniquement si l'adresse MAC de destination du paquet correspond à sa propre adresse MAC effective.

Un système d'exploitation peut envoyer des trames avec une adresse MAC source usurpée. Un système d'exploitation peut donc emprunter l'identité d'un adaptateur réseau que le réseau récepteur autorise et planifier des attaques malveillantes sur les périphériques dans un réseau.

Utilisation de stratégies de sécurité pour protéger des ports et des groupes

Protégez le trafic virtuel contre l'emprunt d'identité et les attaques de couche 2 d'interception en configurant une stratégie de sécurité sur les groupes de ports ou les ports.

La stratégie de sécurité sur les groupes de ports distribués et les ports inclut les options suivantes :

Vous pouvez afficher et modifier les paramètres par défaut en sélectionnant le commutateur virtuel associé à l'hôte dans vSphere Client. Reportez-vous à la documentation Mise en réseau vSphere.

Modifications d'adresse MAC

La règle de sécurité d'un commutateur virtuel inclut une option Modifications d'adresse MAC. Cette option permet aux machines virtuelles de recevoir des trames avec une adresse MAC différente de celle configurée dans le VMX.

Lorsque l'option Modifications d'adresse Mac est définie sur Accepter, ESXi accepte les demandes de modification de l'adresse MAC effective d'une machine virtuelle en une adresse différente de l'adresse MAC initiale.

Lorsque l'option Modifications d'adresse Mac est définie sur Rejeter, ESXi n'honore pas les demandes de modification de l'adresse MAC effective d'une machine virtuelle en une adresse différente de l'adresse MAC initiale. Ce paramètre protège l'hôte contre l'emprunt d'identité MAC. Le port que l'adaptateur de machine virtuelle a utilisé pour envoyer la demande est désactivé et l'adaptateur de machine virtuelle ne reçoit plus de trames jusqu'à ce que l'adresse MAC effective corresponde à l'adresse MAC initiale. Le système d'exploitation invité ne détecte pas que la demande de modification d'adresse MAC n'a pas été honorée.

Note : L'initiateur iSCSI dépend de sa capacité à obtenir les modifications d'adresses MAC à partir de certains types de stockage. Si vous utilisez iSCSI ESXi avec un stockage iSCSI, définissez l'option Modifications d'adresse MAC sur Accepter.

Dans certaines situations, vous pouvez avoir un besoin légitime d'attribuer la même adresse MAC à plusieurs adaptateurs, par exemple, si vous utilisez l'équilibrage de charge réseau Microsoft en mode monodiffusion. Lorsque l'équilibrage de la charge réseau Microsoft est utilisé en mode multidiffusion standard, les adaptateurs ne partagent pas les adresses MAC.

Note : À partir de vSphere 7.0, la valeur par défaut de Transmissions forgées et de Modifications d'adresse MAC a été modifiée en Rejeter au lieu d'Accepter. Contactez votre fournisseur de stockage pour valider.

Transmissions forgées

L'option Transmissions forgées affecte le trafic transmis à partir d'une machine virtuelle.

Lorsque l'option Transmissions forgées est définie sur Accepter, ESXi ne compare les adresses MAC source et effective.

Pour se protéger d'un emprunt d'identité MAC, vous pouvez définir l'option Transmissions forgées sur Rejeter. Dans ce cas, l'hôte compare l'adresse MAC source que transmet le système d'exploitation invité avec l'adresse MAC effective de son adaptateur de machine virtuelle pour déterminer si elles correspondent. Si elles ne correspondent pas, l'hôte ESXi abandonne le paquet.

Le système d'exploitation invité ne détecte pas que son adaptateur de machine virtuelle ne peut pas envoyer de paquets en utilisant l'adresse MAC empruntée. L'hôte ESXi intercepte les paquets avec des adresses usurpées avant leur livraison, et le système d'exploitation invité peut supposer que les paquets sont rejetés.

Note : À partir de vSphere 7.0, la valeur par défaut de Transmissions forgées et de Modifications d'adresse MAC a été modifiée en Rejeter au lieu d'Accepter.

Fonctionnement en mode promiscuité

Le mode promiscuité élimine tout filtrage de réception que l'adaptateur de machine virtuelle peut effectuer afin que le système d'exploitation invité reçoive tout le trafic observé sur le réseau. Par défaut, l'adaptateur de machine virtuelle ne peut pas fonctionner en mode promiscuité.

Bien que le mode promiscuité puisse être utile pour le suivi de l'activité réseau, c'est un mode de fonctionnement non sécurisé, car les adaptateurs en mode promiscuité ont accès aux paquets, même si certains de ces paquets sont reçus uniquement par un adaptateur réseau spécifique. Cela signifie qu'un administrateur ou un utilisateur racine dans une machine virtuelle peut potentiellement voir le trafic destiné à d'autres systèmes d'exploitation hôtes ou invités.

Pour plus d'informations sur la configuration de l'adaptateur de machine virtuelle pour le mode promiscuité, reportez-vous à la section sur la configuration de la stratégie de sécurité d'un commutateur vSphere Standard ou d'un groupe de ports standard dans la documentation de Mise en réseau vSphere.

Note : Dans certaines situations, vous pouvez avoir une raison légitime de configurer un commutateur virtuel standard ou distribué pour fonctionner en mode promiscuité ; par exemple, si vous exécutez un logiciel de détection des intrusions réseau ou un renifleur de paquets.