Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi - VMware
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Bei der Erstellung stimmen die geltende und die ursprünglich zugewiesene MAC-Adresse überein. Das Betriebssystem<br />
der virtuellen Maschine kann die geltenden MAC-Adresse jedoch jederzeit auf einen anderen<br />
Wert setzen. Wenn ein Betriebssystem die geltenden MAC-Adresse ändert, empfängt der Netzwerkadapter<br />
Netzwerkdatenverkehr, der <strong>für</strong> die neue MAC-Adresse bestimmt ist. Das Betriebssystem kann jederzeit Frames<br />
mit einer imitierten Quell-MAC-Adresse senden. Daher kann ein Betriebssystem böswillige Angriffe auf<br />
die Geräte in einem Netzwerk durchführen, indem es einen Netzwerkadapter imitiert, der vom Empfängernetzwerk<br />
autorisiert wurde.<br />
Mit den Sicherheitsprofilen <strong>für</strong> den virtuellen Switch auf den <strong>ESXi</strong>-Hosts können Sie sich gegen diese Art von<br />
Angriffen schützen, indem Sie drei Optionen einstellen: Wenn Sie eine Standardeinstellung <strong>für</strong> einen Port<br />
ändern möchten, müssen Sie das Sicherheitsprofil in den Einstellungen des virtuellen Switches im vSphere-<br />
Client ändern.<br />
MAC-Adressenänderungen<br />
Die Einstellung der Option [MAC‐Adressenänderungen] beeinflusst den Datenverkehr, den eine virtuelle<br />
Maschine empfängt.<br />
Wenn die Option auf [Akzeptieren] festgelegt ist, akzeptiert <strong>ESXi</strong> Anforderungen, die geltende MAC-Adresse<br />
in eine andere als die ursprünglich zugewiesene Adresse zu ändern.<br />
Wenn die Option auf [Ablehnen] festgelegt ist, lehnt <strong>ESXi</strong> Anforderungen ab, die geltende MAC-Adresse in<br />
eine andere als die ursprünglich zugewiesene Adresse zu ändern. Damit wird der Host vor MAC-Imitationen<br />
geschützt. Der Port, der von dem virtuellen Adapter zum Senden der Anforderung verwendet wird, ist deaktiviert,<br />
und der virtuelle Adapter erhält keine weiteren Frames mehr, bis er die geltende MAC-Adresse ändert,<br />
sodass sie mit der ursprünglichen MAC-Adresse übereinstimmt. Das Gastbetriebssystem erkennt nicht, dass<br />
die Änderung der MAC-Adresse nicht angenommen wurde.<br />
HINWEIS Der iSCSI-Initiator basiert darauf, dass er MAC-Adressänderungen von bestimmten Speichertypen<br />
erhalten kann. Wenn Sie <strong>ESXi</strong>-iSCSI verwenden und über einen iSCSI-Speicher verfügen, legen Sie die Option<br />
[MAC‐Adressänderungen] auf [Akzeptieren] fest.<br />
In bestimmten Situationen ist es tatsächlich notwendig, dass mehrere Adapter in einem Netzwerk die gleiche<br />
MAC-Adresse haben, zum Beispiel wenn Sie den Microsoft-NetzwerkLastausgleich im Unicast-Modus verwenden.<br />
Bei Verwendung des Microsoft-NetzwerkLastausgleichs im Standard-Multicast-Modus haben die<br />
Adapter nicht die gleiche MAC-Adresse.<br />
MAC-Adressenänderungen beeinflussen den Datenverkehr, der eine virtuelle Maschine verlässt. MAC-Adressänderungen<br />
treten ein, wenn der Absender diese vornehmen darf, selbst wenn vSwitches oder eine empfangende<br />
virtuelle Maschine keine MAC-Adressänderungen zulassen.<br />
Gefälschte Übertragungen<br />
Kapitel 12 Absichern einer <strong>ESXi</strong>-Konfiguration<br />
Die Einstellung der Option [Gefälschte Übertragungen] beeinflusst den Datenverkehr, der von einer virtuellen<br />
Maschine versandt wird.<br />
Wenn die Option auf [Akzeptieren] festgelegt ist, vergleicht <strong>ESXi</strong> die Quell- und die geltende MAC-Adresse<br />
nicht.<br />
Zum Schutz gegen MAC-Imitation können Sie diese Option auf [Ablehnen (Reject)] einstellen. In diesem<br />
Fall vergleicht der Host die Quell-MAC-Adresse, die vom Betriebssystem übertragen wird, mit der geltenden<br />
MAC-Adresse des Adapters, um festzustellen, ob sie übereinstimmen. Wenn die Adressen nicht übereinstimmen,<br />
verwirft <strong>ESXi</strong> das Paket.<br />
Das Gastbetriebssystem erkennt nicht, dass der virtuelle Netzwerkadapter die Pakete mit der imitierten MAC-<br />
Adresse nicht senden kann. Der <strong>ESXi</strong>-Host fängt alle Pakete mit imitierten Adressen vor der Übermittlung ab.<br />
Das Gastbetriebssystem geht ggf. davon aus, dass die Pakete verworfen wurden.<br />
<strong>VMware</strong>, Inc. 155