Comme c'est le cas avec les adaptateurs réseau physiques, un adaptateur réseau virtuel peut envoyer des trames semblant provenir d'une machine différente ou emprunter l'identité d'une autre machine. En outre, tout comme les adaptateurs réseau physiques, un adaptateur réseau virtuel peut être configuré de façon à recevoir des trames ciblant d'autres machines.

Lorsqu'un commutateur standard est créé, des groupes de ports sont ajoutés pour imposer une configuration de stratégie aux machines virtuelles et systèmes de stockage associés au commutateur. Les ports virtuels sont créés par l'intermédiaire de vSphere Web Client ou de vSphere Client.

Dans le cadre de l'ajout d'un port ou d'un groupe de ports standard à un commutateur standard, vSphere Client configure un profil de sécurité pour le port. L'hôte peut alors empêcher n'importe laquelle de ses machines virtuelles d'emprunter l'identité d'autres machines du réseau. Le système d'exploitation invité responsable de l'emprunt d'identité ne détecte pas que l'emprunt d'identité a été empêché.

Le profil de sécurité détermine la force avec laquelle l'hôte applique la protection contre l'emprunt d'identité et les attaques par interception sur des machines virtuelles. Pour utiliser correctement les paramètres du profil de sécurité, vous devez comprendre les principes de base de la façon dont les adaptateurs réseau virtuels contrôlent les transmissions et de la façon dont les attaques sont planifiées à ce niveau.

Chaque adaptateur réseau virtuel dispose d'une adresse MAC qui lui est attribuée lors de la création de l'adaptateur. Cette adresse est appelée adresse MAC initiale. Même s'il est possible de configurer l'adresse MAC initiale depuis l'extérieur du système d'exploitation invité, cette adresse ne peut pas être modifiée par le système d'exploitation invité. En outre, chaque adaptateur a une adresse MAC active qui filtre et rejette le trafic réseau entrant dont l'adresse MAC de destination diffère de l'adresse MAC active. Il incombe au système d'exploitation invité de définir l'adresse MAC active et, en général, il fait correspondre l'adresse MAC active à l'adresse MAC initiale.

Lors de l'envoi de paquets, un système d'exploitation insère généralement sa propre adresse MAC active d'adaptateur réseau dans le champ d'adresse MAC source du cadre Ethernet. Il insère également l'adresse MAC de l'adaptateur réseau destinataire dans le champ d'adresse MAC de destination. L'adaptateur destinataire accepte les paquets uniquement lorsque l'adresse MAC de destination figurant dans un paquet correspond à sa propre adresse MAC active.

Lors de la création, l'adresse MAC active et l'adresse MAC initiale d'un adaptateur réseau sont les mêmes. Le système d'exploitation de la machine virtuelle peut modifier l'adresse MAC active à tout moment en lui donnant une autre valeur. Si un système d'exploitation modifie l'adresse MAC active, son adaptateur réseau reçoit le trafic réseau destiné à la nouvelle adresse MAC. Le système d'exploitation peut à tout moment envoyer des trames dont l'adresse MAC source a une identité empruntée. Il en résulte qu'un système d'exploitation peut planifier des attaques malveillantes dans un réseau en empruntant l'identité d'un adaptateur réseau autorisé par le réseau de destination.

Il est possible d'utiliser des profils de sécurité de commutateur sur des hôtes pour se prémunir contre ce type d'attaque en définissant trois options. Si un paramètre par défaut d'un port est modifié, le profil de sécurité doit être modifié en éditant les paramètres de commutateur standard dans vSphere Client.