SpoofGuard consente di impedire una forma di attacco dannoso chiamato "spoofing web" o "phishing". Un criterio SpoofGuard blocca il traffico determinato per essere spoofato.

SpoofGuard è uno strumento progettato per impedire che le macchine virtuali nell'ambiente alterino il loro indirizzo IP esistente. Nel caso in cui l'indirizzo IP di una macchina virtuale non corrisponda all'indirizzo IP sulla porta logica corrispondente e al binding dell'indirizzo del commutatore in SpoofGuard, alla vNIC della macchina virtuale viene impedito l'accesso completo alla rete. SpoofGuard può essere configurato a livello di porta o di commutatore. SpoofGuard può essere utilizzato nell'ambiente per diversi motivi:
  • Impedire a una macchina virtuale non autorizzata di acquisire l'indirizzo IP di una macchina virtuale esistente.
  • Assicurandosi che gli indirizzi IP delle macchine virtuali non possano essere modificati senza intervento, in alcuni ambienti è preferibile che le macchine virtuali non possano modificare i propri indirizzi IP senza una revisione del controllo delle modifiche appropriata. SpoofGuard semplifica questa operazione assicurandosi che il proprietario della macchina virtuale non possa semplicemente modificare l'indirizzo IP e continuare a lavorare senza influire.
  • Garantendo che le regole del firewall distribuito (DFW) non vengano inavvertitamente (o intenzionalmente) ignorate - per le regole DFW create utilizzando set di IP come origini o destinazioni, esiste sempre la possibilità che una macchina virtuale possa disporre di un indirizzo IP forgedato nell'intestazione del pacchetto, ignorando in tal modo le regole in questione.

La configurazione NSX-T Data Center di SpoofGuard è la seguente:

  • MAC SpoofGuard: esegue l'autenticazione dell'indirizzo MAC del pacchetto
  • IP SpoofGuard: esegue l'autenticazione degli indirizzi MAC e IP del pacchetto

  • L'ispezione Dynamic Address Resolution Protocol (ARP), ovvero ARP e GARP (Gratuito Address Resolution Protocol) SpoofGuard e ND (Neighbor Discovery), vengono tutte eseguite rispetto alle mappature delle origini MAC, di origine IP e di origine IP-MAC nel payload ARP/GARP/ND.

A livello di porta, l'elenco di elementi consentiti di MAC/VLAN/IP viene fornito tramite la proprietà Binding indirizzi della porta. Quando la macchina virtuale invia traffico, questo viene ignorato se l'indirizzo IP/MAC/VLAN non corrisponde alle proprietà IP/MAC/VLAN della porta. Il livello di porta SpoofGuard concede l'autenticazione del traffico, ovvero il traffico coerente con la configurazione VIF.

A livello di commutatore, l'elenco di elementi consentiti di MAC/VLAN/IP viene fornito tramite la proprietà Binding indirizzi del commutatore. Questo in genere è un intervallo IP/subnet consentito per il commutatore e il livello del commutatore SpoofGuard concede l'autorizzazione del traffico.

Il traffico deve essere permesso da SpoofGuard a livello di porta e a livello di commutatore prima che sia permesso nel commutatore. L'attivazione la disattivazione di SpoofGuard a livello di porta e di commutatore può essere controllata utilizzando il profilo del commutatore di SpoofGuard.