SpoofGuard consente di impedire una forma di attacco dannoso chiamato "spoofing web" o "phishing". Un criterio SpoofGuard blocca il traffico determinato per essere spoofato.
- Impedire a una macchina virtuale non autorizzata di acquisire l'indirizzo IP di una macchina virtuale esistente.
- Assicurandosi che gli indirizzi IP delle macchine virtuali non possano essere modificati senza intervento, in alcuni ambienti è preferibile che le macchine virtuali non possano modificare i propri indirizzi IP senza una revisione del controllo delle modifiche appropriata. SpoofGuard semplifica questa operazione assicurandosi che il proprietario della macchina virtuale non possa semplicemente modificare l'indirizzo IP e continuare a lavorare senza influire.
- Garantendo che le regole del firewall distribuito (DFW) non vengano inavvertitamente (o intenzionalmente) ignorate - per le regole DFW create utilizzando set di IP come origini o destinazioni, esiste sempre la possibilità che una macchina virtuale possa disporre di un indirizzo IP forgedato nell'intestazione del pacchetto, ignorando in tal modo le regole in questione.
La configurazione NSX-T Data Center di SpoofGuard è la seguente:
- MAC SpoofGuard: esegue l'autenticazione dell'indirizzo MAC del pacchetto
- IP SpoofGuard: esegue l'autenticazione degli indirizzi MAC e IP del pacchetto
-
L'ispezione Dynamic Address Resolution Protocol (ARP), ovvero ARP e GARP (Gratuito Address Resolution Protocol) SpoofGuard e ND (Neighbor Discovery), vengono tutte eseguite rispetto alle mappature delle origini MAC, di origine IP e di origine IP-MAC nel payload ARP/GARP/ND.
A livello di porta, l'elenco di elementi consentiti di MAC/VLAN/IP viene fornito tramite la proprietà Binding indirizzi della porta. Quando la macchina virtuale invia traffico, questo viene ignorato se l'indirizzo IP/MAC/VLAN non corrisponde alle proprietà IP/MAC/VLAN della porta. Il livello di porta SpoofGuard concede l'autenticazione del traffico, ovvero il traffico coerente con la configurazione VIF.
A livello di commutatore, l'elenco di elementi consentiti di MAC/VLAN/IP viene fornito tramite la proprietà Binding indirizzi del commutatore. Questo in genere è un intervallo IP/subnet consentito per il commutatore e il livello del commutatore SpoofGuard concede l'autorizzazione del traffico.
Il traffico deve essere permesso da SpoofGuard a livello di porta e a livello di commutatore prima che sia permesso nel commutatore. L'attivazione la disattivazione di SpoofGuard a livello di porta e di commutatore può essere controllata utilizzando il profilo del commutatore di SpoofGuard.