Nelle reti virtuali di VMware vSphere e degli host ESXi, le impostazioni di sicurezza (network security policies) ono configurabili sia a livello di switch che di port group. Se vengono definite impostazioni specifiche per un port group, allora queste prevalgono sulle impostazioni date a livello di switch. I parametri si configurano nelle proprietà dello switch o del port group, tramite vSphere Client o vSphere Web Client. Come già indicato in più occasioni, solo se si utilizza vSphere Client ci si può collegare direttamente all’host ESXi che contiene lo switch da modificare.
Le impostazioni riguardano gli aspetti seguenti:
● Promiscuous Mode: impostazione della modalità promiscua per le interfacce di rete virtuali. E' definita in modalità promiscua una scheda di rete che rimane in ascolto su tutto il traffico che passa sul cavo attestato ad essa. In maniera predefinita, in una rete Ethernet ogni interfaccia di rete rimane in ascolto dei soli pacchetti il cui MAC-address di destinazione corrisponde al proprio. E' chiamata sniffing l'attività di ascolto di tutto il traffico passante; lo sniffing prevede appunto di impostare la scheda di rete in modalità promiscua. Con l’impostazione Reject, le interfacce virtuali non saranno in grado di intercettare il traffico non indirizzato ad esse, anche se impostate in modalità promiscua. Con l’impostazione Accept, è possibile compiere attività di sniffing in rete (di default è su Reject).
● MAC Address Changes: rende possibile la modifica del mac-address nelle macchine virtuali. Se impostato su Reject, nel momento in cui una macchina virtuale utilizza un mac-address differente da quello assegnato alla sua interfaccia virtuale, non sarà più in grado di ricevere pacchetti: tecnicamente viene disabilitata la relativa porta sullo switch virtuale, finchè non si ripristina l'indirizzo MAC corretto. Di default l’impostazione è su Accept.
● Forged Transmits: specifica se devono essere accettati pacchetti con mac address modificato. Se l’impostazione corrisponde a Reject, saranno bloccati tutti i pacchetti in uscita con mac-address sorgente diverso da quello assegnato all’interfaccia virtuale (di default è su Accept).
Impostazioni tramite vSphere Client
1) All'interno del tab "Configuration" dell’host selezionato, andare nella sezione "Networking", selezionare uno switch standard e fare clic su Properties.
2) Nel tab Ports, selezionare lo switch o un port group, quindi fare clic su Edit. Le impostazioni assegnate a livello di port group sovrascrivono quelle assegnate a livello di switch.
3) Fare clic sul tab Security e impostare i parametri come desiderato.
Impostazioni tramite vSphere Web Client
1) Nel pannello di navigazione a sinistra, individuare l’host desiderato, fare clic sul tab Manage, quindi su Networking > Virtual Switches.
2) Selezionare lo switch dalla lista e fare clic su Edit settings. Se le impostazioni devono essere assegnate ad un port group, selezionarlo nello schema di rete che appare più sotto e fare clic su Edit Settings.
3) Fare clic su Security e impostare i parametri desiderati. Nel caso di un port group, abilitare la voce Override per sovrascrivere i parametri impostati a livello di switch.