SpoofGuard consente di impedire una forma di attacco dannoso chiamato "spoofing web" o "phishing". Un criterio SpoofGuard blocca il traffico determinato per essere spoofato.

SpoofGuard è uno strumento progettato per impedire alle macchine virtuali dell'ambiente di inviare traffico con un indirizzo IP da cui non è autorizzato. Nel caso in cui l'indirizzo IP di una macchina virtuale non corrisponda all'indirizzo IP sulla porta logica corrispondente e al binding dell'indirizzo del segmento in SpoofGuard, alla vNIC della macchina virtuale viene impedito completamente di accedere alla rete. SpoofGuard può essere configurato a livello di porta o di segmento. SpoofGuard può essere utilizzato nell'ambiente per diversi motivi:
  • Impedire a una macchina virtuale non autorizzata di acquisire l'indirizzo IP di una macchina virtuale esistente.
  • Assicurandosi che gli indirizzi IP delle macchine virtuali non possano essere modificati senza intervento, in alcuni ambienti è preferibile che le macchine virtuali non possano modificare i propri indirizzi IP senza una revisione del controllo delle modifiche appropriata. SpoofGuard semplifica questa operazione assicurandosi che il proprietario della macchina virtuale non possa semplicemente modificare l'indirizzo IP e continuare a lavorare senza influire.
  • Garantire che le regole del firewall distribuito (DFW) non vengano inavvertitamente (o intenzionalmente) ignorate. Per le regole DFW create utilizzando set di IP come origini o destinazioni, esiste sempre la possibilità che l'indirizzo IP di una macchina virtuale venga contraffatto nell'intestazione del pacchetto e che le regole in questione vengano ignorate.

La configurazione NSX-T Data Center di SpoofGuard è la seguente:

  • MAC SpoofGuard: esegue l'autenticazione dell'indirizzo MAC del pacchetto
  • IP SpoofGuard: esegue l'autenticazione degli indirizzi MAC e IP del pacchetto

  • L'ispezione Dynamic Address Resolution Protocol (ARP), ovvero ARP e GARP (Gratuito Address Resolution Protocol) SpoofGuard e ND (Neighbor Discovery), vengono tutte eseguite rispetto alle mappature delle origini MAC, di origine IP e di origine IP-MAC nel payload ARP/GARP/ND.

A livello di porta, l'elenco di elementi consentiti di MAC/VLAN/IP viene fornito tramite la proprietà Binding indirizzi della porta. Quando la macchina virtuale invia traffico, questo viene ignorato se l'indirizzo IP/MAC/VLAN non corrisponde alle proprietà IP/MAC/VLAN della porta. Il livello di porta SpoofGuard concede l'autenticazione del traffico, ovvero il traffico coerente con la configurazione VIF.

A livello di segmento, l'elenco di elementi consentiti di MAC/VLAN/IP viene fornito tramite la proprietà Binding indirizzi del segmento. Si tratta in genere di un intervallo IP/subnet consentito per il segmento e il livello del segmento SpoofGuard riguarda l'autorizzazione del traffico.

Per poter essere consentito nel segmento, il traffico deve essere consentito dal livello di porta E dal livello di segmento SpoofGuard. L'abilitazione o la disabilitazione di SpoofGuard a livello di porta e segmento può essere controllata utilizzando il profilo di segmento SpoofGuard.