Как и физические сетевые адаптеры, виртуальный сетевой адаптер может отправлять кадры, которые выглядят как кадры с другого компьютера или олицетворяют другой компьютер. Кроме того, подобно физическим сетевым адаптерам, виртуальный сетевой адаптер можно настроить так, чтобы он получал кадры, предназначенные для других компьютеров.

При создании стандартного коммутатора к нему добавляются группы портов, применяющие конфигурацию политики для виртуальных машин и систем хранения, подключенных к коммутатору. Виртуальные порты создаются посредством vSphere Web Client или vSphere Client.

При добавлении порта или группы стандартных портов к стандартному коммутатору решение vSphere Client настраивает профиль безопасности для порта. После этого узел сможет предотвращать попытки расположенных на нем виртуальных машин олицетворять другие компьютеры в сети. Гостевая операционная система, ответственная за олицетворение, не сможет распознать, что олицетворение было предотвращено.

Профиль безопасности определяет степень защиты узла от атак путем олицетворения и перехвата, направленных на виртуальные машины. Чтобы правильно использовать параметры в профиле безопасности, необходимо иметь базовое представление о том, как виртуальные сетевые адаптеры контролируют передачу данных и как осуществляются атаки на этом уровне.

У каждого виртуального сетевого адаптера есть MAC-адрес, который назначается адаптеру при создании. Такой адрес называется исходным MAC-адресом. Хотя настройки исходного MAC-адреса можно изменить из-за пределов гостевой операционной системы, сама гостевая операционная система не может его изменить. Кроме того, у каждого адаптера есть действующий MAC-адрес, который отфильтровывает входящий сетевой трафик с целевым MAC-адресом, отличающимся от действующего MAC-адреса. Гостевая операционная система настраивает действующий MAC-адрес и, как правило, сопоставляет действующий MAC-адрес с исходным.

При отправке пакетов операционная система обычно указывает действующий MAC-адрес своего собственного сетевого адаптера в поле исходного MAC-адреса кадра Ethernet. Она также указывает MAC-адрес принимающего сетевого адаптера в поле целевого MAC-адреса. Принимающий адаптер получает пакеты, только если целевой MAC-адрес в пакете совпадает с его собственным действующим MAC-адресом.

При создании сетевого адаптера его действующий и исходный MAC-адреса совпадают. Операционная система виртуальной машины может в любой момент изменить значение действующего MAC-адреса. Если операционная система изменит действующий MAC-адрес, ее сетевой адаптер будет принимать сетевой трафик, предназначенный для нового MAC-адреса. Операционная система может отправлять кадры с олицетворяемым исходным MAC-адресом в любой момент. Это означает, что операционная система может осуществлять вредоносные атаки на устройства в сети, олицетворяя сетевой адаптер, авторизованный принимающей сетью.

Для защиты от атак такого типа на узлах могут использоваться профили безопасности стандартных коммутаторов. Для этого необходимо настроить три параметра. Изменяя какие-либо параметры по умолчанию для порта, необходимо также изменить профиль безопасности, отредактировав параметры стандартного коммутатора в vSphere Client.