مجازی سازی و Cloud

بررسی Forged transmit روی سوییچ های مجازی ESXi

Forged transmit یکی از گزینه های امنیتی روی سوییچ های مجازی در مورد دریافت یا رد کردن MAC می باشد. یک forged transmit زمانی که یک کارت شبکه ارسال ترافیک ها به بیرون را آغاز می کند رخ می دهد. این گزینه امنیتی آدرس موثر(Effective ) کارت شبکه مجازی را با آدرس مبدا که داخل فریم اترنت ۸۰۲٫۳ توسط ماشین مجازی ایجاد شده است مقایسه می کند تا اطمینان حاصل نماید که این دو آدرس با هم یکسان هستند. اگر این دو آدرس با هم یکجور نباشند در حقیقت یک forged transmit رخ داده است و در برخی موارد از آن بعنوان یک جعل مک آدرس نیز نام برده می شود. اگر این گزینه امنیتی را بر روی حالت reject قرار دهید، فریم حذف خواهد شد.

چه زمانی یک forged transmit دریافت و تشخیص داده می شود؟

یک مثال کوچک برای این قابلیت هنگامی است که از لودبالانسینگ مایکروسافت NLB استفاده کنید. در این سناریو چندین ماشین مجازی در یک کلاستر NLB شرکت کرده و همه آنها دارای یک MAC یکسان و واحد هستند. حالات دیگر در پیرامون مفهوم استفاده و بکارگیری یک آدرس MAC اشتراکی است که منابع یک کلاستر را هنگامی یک یا چند نود fail می شوند مال خود نماید. اما در حالت واقع بین گرایانه، شما هرگز با تمام حالاتی که نیاز به forged transmit دارند مواجه نمی شودید و تنظیم امنیتی سوییچ distributed پیش فرض روی reject می باشد .

مثال واقعی و برتر از forged transmit برای حالت Nested Virtualization نیز می باشد. فرض کنید روی سرور فیزیکی خود یک ESXi نصب کرده و داخل آن میزبان ماشین های مجازی هستید که می خواهند هایپروایزور ESXi را داخل خود نصب و راه اندازی کنند . در چنین شرایطی شما میزبان مهمان های مجازی nested یا توکار هستید. در چنین حالتی، چندین آدرس MAC در فیلد آدرس مبدا ۸۰۲٫۳ ظاهر می شود. حال بایستی Forged transmit را روی حالت Accept قرار دهید تا یک ماشین مجازی تودرتو بتواند با هاست فیزیکی ESXi و خارج از آن ارتباط برقرار کند.

به این مثال با دقت نگاه کنید. فرض کنید یک ماشین مجازی ایجاد کرده اید که داخل آن ESXi نصب شده است. آدرس مکD برای این ESXi مجازی ایجاد شده است. ماشین مجازی ESXi سه ماشین مجازی تو در تو با آدرس های مک A,B,C را روی خود اجرا نموده است . هنگامی که یکی از این ماشین های مجازی تلاش می کند تا با خارج از شبکه از طریق کارت شبکه ESXi مجازی ارتباط برقرار نماید، سوییچ مجازی آدرس مبدا فریم اترنت ۸۰۲٫۳ را بررسی می کند. بعلت اینکه آدرس مبدا با آدرس موثر ماشین مجازی ESXi یکسان نیست، فریم ها شبیه جعل مک رفتار کرده و حذف می شوند و از سرور مجازی خارج نمی شوند.

virtual-vm-mac

در همین بحث گزینه مشابه دیگری بنام  MAC Address Changes وجود دارد که کمی بحث برانگیز می باشد و در مقاله دیگری به آن خواهم پرداخت.