VM 네트워크 어댑터의 일부 MAC 주소 모드를 제한하여 표준 스위치 트래픽을 계층 2 공격으로부터 보호할 수 있습니다.

각 VM 네트워크 어댑터에는 초기 MAC 주소와 유효 MAC 주소가 있습니다.

초기 MAC 주소

초기 MAC 주소는 어댑터를 생성할 때 할당됩니다. 초기 MAC 주소는 게스트 운영 체제 외부에서 다시 구성할 수 있지만 게스트 운영 체제가 변경할 수는 없습니다.

유효 MAC 주소

각 어댑터에는 유효 MAC 주소가 있으며, 대상 MAC 주소가 이 유효 MAC 주소와 일치하지 않는 들어오는 네트워크 트래픽은 필터링됩니다. 유효 MAC 주소를 설정하는 것은 게스트 운영 체제가 책임지며 대개 유효 MAC 주소는 초기 MAC 주소와 일치합니다.

가상 시스템 네트워크 어댑터를 생성하면 발생하는 결과

가상 시스템 네트워크 어댑터를 생성할 때 유효 MAC 주소와 초기 MAC 주소는 동일합니다. 게스트 운영 체제에서 언제든지 유효 MAC 주소를 다른 값으로 변경할 수 있습니다. 운영 체제가 유효 MAC 주소를 변경할 경우 네트워크 어댑터는 새 MAC 주소로 향하는 네트워크 트래픽을 수신합니다.

네트워크 어댑터를 통해 패킷을 보낼 때 게스트 운영 체제는 일반적으로 자체 어댑터의 유효 MAC 주소를 이더넷 프레임의 소스 MAC 주소 필드에 삽입합니다. 또한 대상 MAC 주소 필드에 수신 네트워크 어댑터의 MAC 주소를 삽입합니다. 수신 어댑터는 패킷의 대상 MAC 주소가 자체 유효 MAC 주소와 일치하는 경우에만 패킷을 수락합니다.

운영 체제는 가장된 소스 MAC 주소를 사용하여 프레임을 보낼 수 있습니다. 따라서 운영 체제가 수신 네트워크에 의해 인증된 네트워크 어댑터를 가장하여 네트워크의 디바이스에 악의적인 공격을 꾀할 수 있습니다.

보안 정책을 사용하여 포트 및 그룹 보호

포트 그룹 또는 포트에 보안 정책을 구성하여 가상 트래픽을 가장 및 가로채기 계층 2 공격으로부터 보호합니다.

분산 포트 그룹 및 포트의 보안 정책에는 다음 옵션이 포함됩니다.

vSphere Client에서 호스트와 연결된 가상 스위치를 선택하여 기본 설정을 보고 변경할 수 있습니다. "vSphere 네트워킹" 설명서를 참조하십시오.

MAC 주소 변경 사항

가상 스위치의 보안 정책에는 MAC 주소 변경 옵션이 포함됩니다. 이 옵션을 사용하면 가상 시스템이 VMX에 구성된 것과 다른 Mac 주소로 프레임을 수신할 수 있습니다.

MAC 주소 변경 옵션이 수락으로 설정되면 ESXi는 가상 시스템의 유효 MAC 주소를 초기 MAC 주소가 아닌 다른 주소로 변경하려는 요청을 수락합니다.

MAC 주소 변경 옵션이 거부로 설정되면 ESXi는 가상 시스템의 유효 MAC 주소를 초기 MAC 주소가 아닌 다른 주소로 변경하려는 요청을 수락하지 않습니다. 이 설정을 통해 MAC 가장으로부터 호스트가 보호됩니다. 유효 MAC 주소가 초기 MAC 주소와 일치할 때까지는 가상 시스템 어댑터가 요청을 보내는 데 사용한 포트가 비활성화되고 가상 시스템 어댑터가 더 이상 프레임을 받지 않습니다. 게스트 운영 체제는 MAC 주소 변경 요청이 수락되지 않은 것을 감지하지 못합니다.

참고: iSCSI 이니시에이터에는 특정 유형의 스토리지에서 MAC 주소 변경을 가져오는 기능이 필요합니다. iSCSI 스토리지가 포함된 ESXi iSCSI를 사용하는 경우 MAC 주소 변경 옵션을 수락으로 설정하십시오.

상황에 따라 둘 이상의 어댑터가 네트워크에서 동일한 MAC 주소를 가지도록 해야 할 경우가 있습니다. 유니캐스트 모드에서 Microsoft 네트워크 로드 밸런싱을 사용하는 경우를 예로 들 수 있습니다. Microsoft 네트워크 로드 밸런싱이 표준 유니캐스트 모드에서 사용되면 어댑터 간에 MAC 주소를 공유하지 않습니다.

참고: vSphere 7.0부터 위조 전송MAC 주소 변경에 대한 기본값이 수락 대신 거부로 변경되었습니다. 확인하려면 스토리지 벤더에 문의하십시오.

위조 전송

위조 전송 옵션은 가상 시스템으로부터 전송되는 트래픽에 영향을 미칩니다.

위조 전송 옵션을 동의로 설정하면 ESXi가 소스 MAC 주소와 유효 MAC 주소를 비교하지 않습니다.

MAC 가장으로부터 보호하려면 위조 전송 옵션을 거부로 설정하면 됩니다. 이렇게 하면 호스트가 게스트 운영 체제에서 전송되는 소스 MAC 주소를 해당 가상 시스템 어댑터의 유효 MAC 주소와 비교하여 두 주소가 일치하는지 확인합니다. 주소가 일치하지 않으면 ESXi 호스트는 패킷을 삭제합니다.

게스트 운영 체제는 해당 가상 시스템 어댑터가 가장된 MAC 주소를 사용하여 패킷을 전송할 수 없음을 감지하지 못합니다. 주소가 가장된 모든 패킷이 배달되기 전에 ESXi 호스트가 이를 가로채며 게스트 운영 체제는 패킷이 버려진 것으로 가정할 수 있습니다.

참고: vSphere 7.0부터 위조 전송MAC 주소 변경에 대한 기본값이 수락 대신 거부로 변경되었습니다.

비규칙(Promiscuous) 모드 작업

비규칙 모드는 게스트 운영 체제가 회선에서 발견한 모든 트래픽을 받을 수 있도록 가상 시스템 어댑터가 수행하는 모든 수신 필터링을 제거합니다. 기본적으로 가상 시스템 어댑터는 비규칙 모드로 작동할 수 없습니다.

비규칙 모드는 네트워크 작업을 추적하는 데 유용할 수 있지만 안전하지 않은 작업 모드입니다. 비규칙 모드인 어댑터는 특정 네트워크 어댑터에서만 수신하는 일부 패킷에 대해서도 액세스할 수 있기 때문입니다. 이것은 가상 시스템 내의 관리자 또는 루트 사용자가 다른 게스트 또는 호스트 운영 체제로 전송될 트래픽을 잠재적으로 볼 수 있음을 의미합니다.

무차별 모드로 가상 시스템 어댑터를 구성하는 방법에 대한 자세한 내용은 "vSphere 네트워킹" 설명서에서 vSphere Standard 스위치 또는 표준 포트 그룹에 대한 보안 정책 구성에 대한 항목을 참조하십시오.

참고: 상황에 따라 비규칙 모드로 작동하는 표준 또는 분산 가상 스위치를 구성해야 하는 경우가 있습니다. 예를 들어 네트워크 침입 감지 소프트웨어 또는 패킷 스니퍼를 실행하는 경우가 이에 해당합니다.