Net als fysieke netwerkadapters kan een virtuele netwerkadapter frames verzenden die van een andere machine afkomstig lijken of een andere machine imiteren. En net als fysieke netwerkadapters kan een virtuele netwerkadapter ook zodanig worden geconfigureerd dat deze frames ontvangt die bedoeld zijn voor andere machines.
Als een standaardswitch wordt gemaakt, worden poortgroepen toegevoegd om een beleidsconfiguratie te maken voor de virtual machines en opslagsystemen die aan de switch zijn gekoppeld. Virtuele poorten worden gemaakt via de vSphere Web Client of de vSphere Client.
Als onderdeel van het toevoegen van een poort of standaardpoortgroep aan een standaardswitch, configureert de vSphere Client een beveiligingsprofiel voor de poort. De host kan vervolgens voorkomen dat een van de virtual machines andere machines op het netwerk imiteert. Het gastbesturingssysteem dat verantwoordelijk is voor de imitatie, detecteert niet dat de imitatie is voorkomen.
Het beveiligingsprofiel bepaalt hoe strikt de host beveiligt tegen imitatie en aanvallen op virtual machines. Om de instellingen in het beveiligingsprofiel goed te gebruiken, moet u de basisprincipes begrijpen van hoe virtuele netwerkadapters overdrachten controleren en hoe aanvallen op dit niveau worden georganiseerd.
Elke virtuele netwerkadapter heeft een MAC-adres dat bij het creëren van de adapter is toegewezen. Dit adres wordt het initiële MAC-adres genoemd. Hoewel het initiële MAC-adres van buiten het gastbesturingssysteem opnieuw kan worden geconfigureerd, kan het niet worden gewijzigd door het gastbesturingssysteem. Daarnaast heeft elke adapter een effectief MAC-adres voor het uitfilteren van binnenkomend netwerkverkeer met een bestemmings-MAC-adres anders dan het effectieve MAC-adres. Het gastbesturingssysteem is verantwoordelijk voor het instellen van het effectieve MAC-adres en koppelt het effectieve MAC-adres gewoonlijk aan het initiële MAC-adres.
Bij het versturen van pakketten zet een besturingssysteem normaliter het effectieve MAC-adres van de eigen netwerkadapter in het bron-MAC-adresveld van het Ethernet-frame. Tevens wordt het MAC-adres voor de ontvangende netwerkadapter in het bestemmings-MAC-adresveld gezet. De ontvangende adapter accepteert pakketten alleen wanneer het bestemmings-MAC-adres in het pakket overeenkomt met het eigen effectieve MAC-adres.
Bij het aanmaken zijn het effectieve MAC-adres en initiële MAC-adres van een netwerkadapter hetzelfde. Het besturingssysteem van de virtual machine kan het effectieve MAC-adres op elk gewenst moment aanpassen. Als een besturingssysteem het effectieve MAC-adres wijzigt, dan ontvangt de netwerkadapter netwerkverkeer dat is bestemd voor het nieuwe MAC-adres. Het besturingssysteem kan te allen tijde frames versturen met een geïmiteerd bron-MAC-adres. Dit houdt in dat een besturingssysteem aanvallen kan plannen op de apparaten in een netwerk door het imiteren van een netwerkadapter die autorisatie heeft van het ontvangende netwerk.
Op hosts kunnen standaardbeveiligingsprofielen voor switches worden gebruikt om tegen dit type aanvallen te beschermen door het instellen van drie opties. Als standaardinstellingen voor een poort worden gewijzigd, moet het beveiligingsprofiel worden aangepast door de standaard-switchinstellingen te bewerken in de vSphere Client.