basiczto - Fotolia

Les différentes fonctions de sécurité réseau disponibles dans un commutateur virtuel

Les commutateurs réseau virtuels apportent des fonctionnalités de sécurité spécifiques. Grâce à elle, les administrateurs peuvent créer et faire appliquer des politiques, bloquer des interfaces réseau, ou encore du trafic malicieux entre VM.

Les commutateurs réseau virtuels, comme ceux créés en environnement VMware, apportent plusieurs fonctionnalités de sécurité très utiles. Les administrateurs d’environnements virtualisés ne le savent peut-être pas, mais il est ainsi possible d’appliquer des politiques de sécurité aux ports des commutateurs virtuels. Alors que les ports des commutateurs physiques n'ont aucune idée de la configuration des ports des interfaces réseau physiques qui leur sont connectés, les commutateurs virtuels peuvent détecter celle des ports réseau virtuels qui leur sont connectés. Les administrateurs peuvent ainsi créer et appliquer des politiques aidant à maintenir leur posture de sécurité.

Par exemple, un commutateur virtuel peut empêcher une machine virtuelle invitée de modifier son adresse MAC, signe courant d'activité malveillante.

La politique de sécurité pour le mode de proximité est définie au niveau du commutateur virtuel ou du groupe de ports.

Lorsqu’il est activé, le mode de promiscuité permet de voir tout le trafic réseau unicast traversant un commutateur virtuel. Comme ce comportement n'est pas souhaitable pour la sécurité, ce mode de fonctionnement est désactivé par défaut : une machine virtuelle ne voit que les paquets qui lui sont adressés. La politique de sécurité pour le mode de promiscuité est définie au niveau du commutateur virtuel ou du groupe de ports.

Verrouiller une adresse MAC

Une autre des précieuses fonctions de sécurité réseau associées aux commutateurs virtuels est le verrouillage d’adresses MAC. Une adresse MAC représente l'identifiant physique permanent de chaque périphérique réseau.

Les adresses MAC sont attribuées aux machines virtuelles dans le cadre de leur configuration réseau, mais elles peuvent être modifiées assez facilement dans les machines virtuelles. Mais ceci n'est pas souhaitable et peut être le signe d'une activité malveillante. Verrouiller l'adresse MAC empêche cela.

Bloquer le trafic venant de machines virtuelles

Enfin, les commutateurs virtuels peuvent bloquer le trafic contrefait provenant des machines virtuelles. Normalement, un périphérique réseau - tel qu'un commutateur virtuel - ne compare pas les adresses MAC dans les paquets IP avec l'adresse MAC du périphérique émetteur pour s'assurer qu'elles correspondent. Cela peut permettre l'envoi de trafic malveillant en utilisant des tactiques telles que l'usurpation d'adresse MAC. Lorsque le commutateur virtuel compare les adresses MAC, il peut bloquer le trafic contrefait.

Dernière mise à jour de cet article : mars 2018

Approfondir

Soyez le premier à commenter

M'envoyer une notification dès qu'un autre membre commente.

En soumettant ces informations à LeMagIT.fr, vous acceptez de recevoir des emails de TechTarget et ses partenaires. Si vous résidez hors des Etats-Unis, vous consentez à ce que vos données personnelles soient transférées et traitées aux Etats-Unis. Politique de confidentialité

Merci de créer un identifiant pour pouvoir poster votre commentaire.

- ANNONCES GOOGLE

Close