È possibile proteggere il traffico di commutatori standard dagli attacchi di livello 2 limitando alcune delle modalità di indirizzo MAC delle schede di rete della macchina virtuale.
Ciascuna scheda di rete della macchina virtuale possiede un indirizzo MAC iniziale e un indirizzo MAC effettivo.
Indirizzo MAC iniziale
L'indirizzo MAC iniziale viene assegnato al momento della creazione della scheda. Sebbene l'indirizzo MAC iniziale possa essere riconfigurato dall'esterno del sistema operativo guest, non può essere modificato dal sistema operativo guest.
Indirizzo MAC effettivo
Ogni scheda dispone di un indirizzo MAC effettivo che filtra il traffico di rete in entrata con un indirizzo MAC di destinazione diverso dall'indirizzo MAC effettivo. Il sistema operativo guest è responsabile dell'impostazione dell'indirizzo MAC effettivo che, in genere, coincide con l'indirizzo MAC iniziale.
Che cosa accade quando si crea una scheda di rete di una macchina virtuale
Durante la creazione di una scheda di rete della macchina virtuale, l'indirizzo MAC effettivo e l'indirizzo MAC iniziale corrispondono. Il sistema operativo guest può modificare l'indirizzo MAC effettivo in un altro valore in qualsiasi momento. Se un sistema operativo modifica l'indirizzo MAC effettivo, la scheda di rete riceve traffico di rete destinato al nuovo indirizzo MAC.
Quando invia pacchetti tramite una scheda di rete, il sistema operativo guest posiziona in genere il proprio indirizzo MAC effettivo della scheda nel campo degli indirizzi MAC di origine dei frame Ethernet. Posiziona l'indirizzo MAC per la scheda di rete ricevente nel campo di indirizzo MAC di destinazione. La scheda di ricezione accetta pacchetti solo se l'indirizzo MAC di destinazione nel pacchetto corrisponde al proprio indirizzo MAC effettivo.
Un sistema operativo può inviare frame con un indirizzo MAC di origine di rappresentazione. Un sistema operativo può quindi rappresentare una scheda di rete che la rete ricevente autorizza e eseguire attacchi dannosi sui dispositivi di una rete.
Utilizzo dei criteri di protezione per proteggere porte e gruppi
Proteggere il traffico virtuale contro gli attacchi di rappresentazione e intercettazione di livello 2 configurando un criterio di protezione su gruppi di porte o porte.
Il criterio di protezione su porte e gruppi di porte distribuiti include le seguenti opzioni:
- Modifiche all'indirizzo MAC (vedere Modifiche all'indirizzo MAC)
- Modalità promiscua (vedere Funzionamento in modalità promiscua)
- Trasmissioni contraffatte (vedere Trasmissioni contraffatte)
È possibile visualizzare e modificare le impostazioni predefinite selezionando il commutatore virtuale associato all'host da vSphere Client. Vedere la documentazione di Rete di vSphere.
Modifiche all'indirizzo MAC
Il criterio di protezione di un commutatore virtuale include un'opzione Modifiche all'indirizzo MAC. Questa opzione consente alle macchine virtuali di ricevere frame con un indirizzo Mac diverso da quello configurato in VMX.
Quando l'opzione Modifiche all'indirizzo MAC è impostata su Accetta, ESXi accetta richieste di sostituzione dell'indirizzo MAC effettivo di una macchina virtuale con un indirizzo diverso dall'indirizzo MAC iniziale.
Quando l'opzione Modifiche all'indirizzo MAC è impostata su Rifiuta, ESXi non accetta le richieste di sostituzione dell'indirizzo MAC effettivo di una macchina virtuale con un indirizzo diverso dall'indirizzo MAC iniziale. Questa impostazione protegge l'host dall'impersonificazione MAC. La porta utilizzata dalla scheda della macchina virtuale per inviare la richiesta è disattivata e la scheda della macchina virtuale non riceve altri frame finché l'indirizzo MAC effettivo non corrisponde all'indirizzo MAC iniziale. Il sistema operativo guest non rileva che la richiesta di modifica dell'indirizzo MAC non è stata onorata.
In alcune situazioni, è legittimo che più di una scheda abbia lo stesso indirizzo MAC in una rete, ad esempio se si utilizza il Bilanciamento carico di rete Microsoft in modalità unicast. Quando il Bilanciamento carico di rete Microsoft viene utilizzato nella modalità multicast standard, le schede non condividono gli indirizzi MAC.
Trasmissioni contraffatte
L'opzione Trasmissioni contraffatte influisce sul traffico trasmesso da una macchina virtuale.
Quando l'opzione Trasmissioni contraffatte è impostata su Accetta, ESXi non confronta gli indirizzi MAC di origine e quelli effettivi.
Per proteggersi dalla impersonificazione MAC, è possibile impostare l'opzione Trasmissioni contraffatte su Rifiuta. In questo caso, l'host confronta l'indirizzo MAC di origine trasmesso dal sistema operativo guest con l'indirizzo MAC effettivo della scheda della macchina virtuale per verificare se corrispondono. Se gli indirizzi non corrispondono, l'host ESXi elimina il pacchetto.
Il sistema operativo guest non rileva che la scheda della macchina virtuale non riesce a inviare pacchetti utilizzando l'indirizzo MAC rappresentato. L'host ESXi intercetta tutti i pacchetti con indirizzi impersonificati prima che vengano consegnati e il sistema operativo guest potrebbe presumere che i pacchetti siano stati eliminati.
Funzionamento in modalità promiscua
La modalità promiscua elimina qualsiasi filtro di ricezione eseguito dalla scheda della macchina virtuale in modo che il sistema operativo guest riceva tutto il traffico osservato sul cavo. Per impostazione predefinita, la scheda della macchina virtuale non può funzionare in modalità promiscua.
Anche se la modalità promiscua può essere utile per il monitoraggio delle attività di rete, si tratta di una modalità di funzionamento non sicura in quanto qualsiasi scheda in modalità promiscua può accedere ai pacchetti anche se alcuni dei pacchetti vengono ricevuti solo da una particolare scheda di rete. Ciò significa che un amministratore o un utente root all'interno di una macchina virtuale può potenzialmente visualizzare il traffico destinato ad altri sistemi operativi guest o host.
Per informazioni sulla configurazione della scheda della macchina virtuale per la modalità promiscua, vedere l'argomento sulla configurazione del criterio di protezione per un commutatore vSphere Standard o un gruppo di porte standard nella documentazione Rete di vSphere.