物理ネットワーク アダプタと同様、仮想ネットワーク アダプタは、異なるマシンから発信されたように見えるフレームを送信したり、別のマシンになりすましたりすることができます。また、物理ネットワーク アダプタと同様に、仮想ネットワーク アダプタは、ほかのマシンを送信先にしたフレームを受信するように構成できます。
標準スイッチを作成する場合、ポート グループが追加されて、スイッチに接続される仮想マシンおよびストレージ システムに強制的にポリシーを構成します。仮想ポートは vSphere Web Client または vSphere Client を介して作成されます。
ポートまたは標準ポート グループを標準スイッチに追加する作業の一部として、vSphere Client は、ポートのセキュリティ プロファイルを構成します。ホストはその仮想マシンがネットワーク上で他のマシンになりすますことを防止できます。なりすましを行うゲスト OS は、なりすましが阻止されたことを検知しません。
セキュリティ プロファイルは、仮想マシンでのなりすましや傍受攻撃に対する保護をホストがどの程度強化するかを決定します。セキュリティ プロファイルの設定を正しく使用するには、仮想ネットワーク アダプタが転送を制御する仕組みや、このレベルでの攻撃方法の基礎を理解する必要があります。
各仮想ネットワーク アダプタには、アダプタが作成されるときに、MAC アドレスが割り当てられます。このアドレスは、初期 MAC アドレスと呼ばれます。初期 MAC アドレスは、ゲスト OS の外部から再構成できますが、ゲスト OS がそれを変更することはできません。また、各アダプタには有効な MAC アドレスがあります。これは、送信先 MAC アドレスが有効な MAC アドレスとは異なる受信ネットワーク トラフィックを遮断します。ゲスト OS は、有効な MAC アドレスの設定に関与し、通常、有効な MAC アドレスを初期 MAC アドレスに一致させます。
パケットを送信する場合、オペレーティング システムは、通常、そのネットワーク アダプタの有効な MAC アドレスをイーサネット フレームの送信元 MAC アドレス フィールドに置きます。また、受信側ネットワーク アダプタの MAC アドレスは、送信先 MAC アドレス フィールドに置きます。受信側アダプタはパケットの送信先 MAC アドレスが、そのアダプタの有効な MAC アドレスに一致する場合だけパケットを受け付けます。
作成時、ネットワーク アダプタの有効な MAC アドレスおよび初期 MAC アドレスは同じです。仮想マシンのオペレーティング システムは、有効な MAC アドレスの値をいつでも変更できます。オペレーティング システムが有効な MAC アドレスを変更すると、そのネットワーク アダプタは、新規 MAC アドレスに送信されるネットワーク トラフィックを受信します。オペレーティング システムは、送信元 MAC アドレスになりすましているフレームをいつでも送信できます。つまり、オペレーティング システムは、受信側ネットワークにより許可されているネットワーク アダプタになりすますことで、ネットワークのデバイスに対して、悪意のある攻撃を実行する可能性があります。
ホストで標準スイッチ セキュリティ プロファイルを使用すると、3 つのオプションを設定することでこのタイプの攻撃から保護できます。ポートのデフォルト設定のいずれかを変更する場合、vSphere Client で標準スイッチ設定を編集して、セキュリティ プロファイルを変更する必要があります。