Come per le schede di rete fisiche, una scheda di rete virtuale può inviare frame che sembrano provenire da una macchina diversa oppure che rappresentano un’altra macchina. Inoltre, come per le schede di rete fisiche, una scheda di rete virtuale può essere configurata in modo da ricevere frame destinati ad altre macchine.
Quando viene creato uno switch standard, vengono aggiunti gruppi di porte per imporre una configurazione di criteri per le macchine virtuali e i sistemi di storage collegati allo switch. Le porte virtuali vengono create attraverso vSphere Web Client o vSphere Client.
Come parte dell'aggiunta di una porta o di un gruppo di porte standard a uno switch standard, vSphere Client configura un profilo di sicurezza per la porta. L’host potrà quindi impedire alle proprie macchine virtuali di rappresentare altre macchine sulla rete. Il sistema operativo guest responsabile della rappresentazione non rileva il fatto che la rappresentazione è stata impedita.
Il profilo di sicurezza determina il livello con cui l’host applica la protezione da rappresentazioni e attacchi di intercettazione su macchine virtuali. Per utilizzare correttamente le impostazioni nel profilo di sicurezza, è necessario comprendere le basi delle modalità con cui le schede di rete virtuali controllano le trasmissioni e come avvengono gli attacchi a questo livello.
Ciascuna scheda di rete virtuale dispone di un indirizzo MAC che è stato assegnato alla creazione della scheda. Questo indirizzo viene denominato indirizzo MAC iniziale. Anche se è possibile riconfigurarlo dall’esterno del sistema operativo, l’indirizzo MAC iniziale non può essere comunque modificato dal sistema operativo guest. In aggiunta, ciascuna scheda dispone di un indirizzo MAC effettivo che filtra il traffico di rete in ingresso con un indirizzo MAC di destinazione diverso dall’indirizzo MAC effettivo. Il sistema operativo guest è responsabile per l’impostazione dell’indirizzo MAC effettivo, e in genere abbina l’indirizzo MAC effettivo all’indirizzo MAC iniziale.
Quando invia pacchetti, il sistema operativo posiziona in genere l’indirizzo MAC effettivo della propria scheda di rete nel campo di indirizzo MAC di origine del frame Ethernet. Inoltre, l’indirizzo MAC per la scheda di rete di ricezione viene posizionato nel campo di indirizzo MAC di destinazione. La scheda di ricezione accetta pacchetti solo quando l’indirizzo MAC di destinazione nel pacchetto corrisponde al proprio indirizzo MAC effettivo.
Alla creazione, l’indirizzo MAC effettivo della scheda di rete e l’indirizzo MAC iniziale corrispondono. Il sistema operativo della macchina virtuale può modificare l’indirizzo MAC effettivo in un altro valore in qualsiasi momento. Se un sistema operativo modifica l’indirizzo MAC effettivo, la propria scheda di rete riceverà traffico di rete destinato al nuovo indirizzo MAC. Il sistema operativo può inviare frame con un indirizzo MAC di origine di rappresentazione in qualsiasi momento. Ciò significa che un sistema operativo può eseguire attacchi dannosi sui dispositivi di una rete rappresentando una scheda di rete autorizzata dalla rete ricevente.
È possibile utilizzare profili di sicurezza di switch standard sugli host per la protezione da questo tipo di attacchi attraverso l’impostazione di tre opzioni. Se viene modificata una qualsiasi impostazione predefinita di una porta, sarà necessario modificare il profilo di sicurezza modificando impostazioni di switch standard in vSphere Client.