標準スイッチのトラフィックは、仮想マシン ネットワーク アダプタの MAC アドレス モードの一部を制限することで、レイヤー 2 攻撃から保護できます。
各仮想マシン ネットワーク アダプタには、初期 MAC アドレスと有効な MAC アドレスがあります。
初期 MAC アドレス
初期 MAC アドレスは、アダプタの作成時に割り当てられます。初期 MAC アドレスは、ゲスト OS の外部から再構成できますが、ゲスト OS により変更することはできません。
有効な MAC アドレス
各アダプタには有効な MAC アドレスがあります。これは、送信先 MAC アドレスが有効な MAC アドレスとは異なる着信ネットワーク トラフィックをフィルタリングするために使用します。ゲスト OS は、有効な MAC アドレスの設定に関与し、通常、有効な MAC アドレスを初期 MAC アドレスに一致させます。
仮想マシン ネットワーク アダプタを作成した場合の動作
仮想マシン ネットワーク アダプタの作成時、有効な MAC アドレスおよび初期 MAC アドレスは同じです。ゲスト OS は、有効な MAC アドレスの値をいつでも変更できます。オペレーティング システムが有効な MAC アドレスを変更すると、そのネットワーク アダプタは、新規 MAC アドレスに送信されるネットワーク トラフィックを受信します。
ネットワーク アダプタを通してパケットを送信する場合、ゲスト OS は通常、それ自身のアダプタの有効な MAC アドレスをイーサネット フレームの送信元 MAC アドレス フィールドに置きます。受信側ネットワーク アダプタの MAC アドレスは、送信先 MAC アドレス フィールドに置きます。受信側アダプタは、パケットの送信先 MAC アドレスがそれ自身の有効な MAC アドレスに一致する場合だけパケットを受け付けます。
オペレーティング システムは、なりすましている送信元 MAC アドレスを持つフレームを送信できます。そのため、オペレーティング システムは、受信側ネットワークが許可するネットワーク アダプタになりすまし、ネットワーク内のデバイスに対して悪意のある攻撃を実行できます。
セキュリティ ポリシーを使用したポートおよびグループの保護
ポート グループまたはポートでセキュリティ ポリシーを構成して、なりすましやレイヤー 2 攻撃に対して仮想トラフィックを保護します。
分散ポート グループおよびポートのセキュリティ ポリシーには、次のオプションがあります。
- MAC アドレス変更 (MAC アドレス変更 を参照)
- プロミスキャス モード (無差別モード操作 を参照)
- 偽装転送 (偽装転送 を参照)
デフォルトの設定は、ホストに関連付けられている仮想スイッチを vSphere Client から選択することにより、表示および変更できます。vSphere のネットワーク ドキュメントを参照してください。
MAC アドレス変更
仮想スイッチのセキュリティ ポリシーには [MAC アドレス変更] オプションが含まれています。このオプションにより、MAC アドレスが VMX で構成されているものとは異なるフレームを仮想マシンで受信できるようになります。
[Mac アドレスの変更] オプションが [承諾] に設定されている場合、ESXi は仮想マシンの有効な MAC アドレスを初期 MAC アドレスとは異なるアドレスに変更する要求を受け入れます。
[Mac アドレスの変更] オプションが [拒否] に設定されている場合、ESXi は仮想マシンの有効な MAC アドレスを、初期 MAC アドレスとは異なるアドレスに変更する要求を拒否します。この設定により、MAC のなりすましに対してホストが保護されます。仮想マシン アダプタが要求の送信に使用したポートは無効になります。仮想マシン アダプタは、有効な MAC アドレスが初期 MAC アドレスと一致しない限り、それ以上のフレームを受け取りません。ゲスト OS は、MAC アドレスの変更要求が拒否されたことを検知しません。
場合によっては、複数のアダプタがネットワーク上で同じ MAC アドレスを使用することが適切な場合もあります。たとえば、Microsoft Network Load Balancing をユニキャスト モードで使用している場合です。Microsoft Network Load Balancing が標準マルチキャスト モードで使用される場合、アダプタは MAC アドレスを共有しません。
偽装転送
[偽装転送] オプションは、仮想マシンから転送されるトラフィックに影響を及ぼします。
[偽造転送] オプションが [承諾] に設定されている場合、ESXi はソースと有効な MAC アドレスを比較しません。
[偽装転送] オプションを [拒否] に設定して、MAC のなりすましに対して保護できます。このように設定すると、ホストはゲスト OS から転送されるソース MAC アドレスと、その仮想マシン アダプタの有効な MAC アドレスを比較して、それらが一致するかどうかを確認します。アドレスが一致しない場合、ESXi ホストはパケットをドロップします。
ゲスト OS は、仮想マシン アダプタが、なりすましている MAC アドレスを使用したパケットの送信を実行できないことは検知しません。ESXi ホストは、なりすましているアドレスのパケットが配信される前に、そのパケットを遮断します。 ゲスト OS は、そのパケットがドロップされたとみなす可能性があります。
無差別モード操作
無差別モードでは、仮想マシン アダプタが実行するすべての受信フィルタリングが除去されるため、ゲスト OS は回線で監視されるすべてのトラフィックを受信します。デフォルトでは、仮想マシン アダプタは無差別モードで操作できません。
無差別モードは、ネットワーク アクティビティのトラッキングに便利ですが、無差別モードのアダプタは、いくつかのパケットが特定のネットワーク アダプタのみに受信される場合でもパケットにアクセスできるため、この操作は安全ではありません。つまり、仮想マシン内のシステム管理者または root ユーザーは、ほかのゲスト OS またはホスト OS に送信されるトラフィックを参照できます。
仮想マシンのアダプタを無差別モードに構成する方法については、『vSphere のネットワーク』ドキュメントの vSphere 標準スイッチまたは標準ポート グループのセキュリティ ポリシーの構成に関するトピックを参照してください。