Vmware NSX SpoofGuard Özelliği

ileadmin

Vmware NSX SpoofGuard Özelliği

Merhabalar,

SpoofGuard,NSX üzerinde kullanabileceğimiz en güçlü özelliklerden biridir.
SpoofGuard özelliği sanal makinenin sahip olduğu IP adresini izleyecek ve yönetimini gerçekleştirecektir.
Bu özellik sayesinde sanal makine IP adresi değişim talepleri onay mekanizmasına bağlı olarak gerçekleşir ve
içerde meydana gelebilecek sızıntılarda saldırganların ip adreslerini değiştirerek firewall atlatma gibi çabalarının
önüne geçilmeye de yardımcı olunur.

Nasıl Çalışır?

NSX Manager,Vcenter’da yer alan tüm sanal makinelerin ip adreslerini,vCenter Server ile olan ilk senkronizasyonunda
NSX 6.2 öncesinde  sanal makinelerde yer alan  Vmware Tools’lar yardımıyla toplarken,NSX 6.2 ve sonrasında
DHCP Snooping,ARP snooping veya herikisi yardımıyla toplayabilir. Bu sayede Vmware Tools yüklü olmayan sanal makinelerin
IP adreslerinin de NSX tarafından tespit edilmesi sağlanır.
Sanal makinelerde Vmware Tools yüklü ise DHCP ve ARP snooping ile beraber çalışabilmektedir.
Spoofguard toplanan bu ip adreslerinin yetkilendirilmesine izin verir ve spoof edilmiş olarak karar verdiğimiz bir ip trafiğini
engelleyebilmemize olanak tanır.
Spoofguard hem IPv4 hem de IPv6 adresleri desteklemektedir.
SpoofGuard sanal makineler tarafından raporlanan IP adreslerini aşağıdaki modların birinde izler ve yönetir.

a)Automatically trust IP assignments on their first use:

Sanal ethernet kartlarına atanmış ip adreslerine otomatik olarak güvenilir. Bu adreslerde meydana gelen
sonraki değişikliklerin  geçerli olabilmesi için onay verilmesi gerekmektedir.

b)Manually inspect and approve all IP assignments before use:

Her bir vNIC-IP  adresi atamasını biz onaylayana kadar engeller. Bu onay mekanizmasına ilk ayarlarda dahildir.

Peki ya DHCP?

SpoofGuard’ı devreye aldığımızda DHCP ile ilgili aşağıdaki soruları düşünmemiz gerekecektir.
1)Clientlarımız bu durumdan nasıl etkilenirler. IP adresi almada bir sorun yaşarlar mı?
2)DHCP’den alınacak IP adresi atamaları için bizden onay alınmasına gerek varmıdır?

Yukarıdaki modlardan sadece Manually inspect and approve all IP assignments before use
modunda DHCP trafiğine biz onay verene kadar izin verilmez.

SpoofGuard Politikalarını Yönetme

1)SpoofGuard politikalarını yapılandırmak için vSphere Web Client üzerinde Networking&Security linkine ardından

gelen ekranda sol taraftan SpoofGuard linkine tıklayalım.

2)Varsayılan SpoofGuard politikası Default Policy tüm networkler için  devre dışı durumdadır.
Bu ekranda dilersek default policy’i değiştirebiliriz yada yeni bir policy ekleyebiliriz.

Yeni Policy Ekleme

Bu bölümde yeni bir policy oluşturup aktif hale getireceğiz ve oluşturduğumuz bu policy’nin ip trafiğine etkisini göreceğiz.

Yeni policy ekleyip aktif etmeden önce 192.168.100.83 ip adresine ping atmayı deneyelim.

1)Yeni bir policy eklemek için  butonuna tıklayalım.

2)Policy Name bölümünden policymize  bir isim verelim. Gereksinimlerimize bağlı olarak Enable veya Disable olacağını seçelim.
Operation Modunu yine ihtiyaçlarımız doğrultusunda seçebiliriz.
Bu örnek te Manually inspect and approve all IP assignments before use seçimini yaparak ilerledik.

3)Select Networks ekranında  butonuna basarak SpoofGuard policy’sinin uygulanacağı network’ü seçelim.

4)Finish butonuna basarak policy oluşturma işlemini tamamlayalım.

5)Oluşturmuş olduğumuz policy’i seçtiğimiz de bulunan ip adresleri listelenecektir.
192.168.100.83 ip adresini approve etmeden ping atmayı denersek;


IP adreslerini onaylamak için Approve butonuna basmamız ve ardından bu Publish Changes dememiz gerekmektedir.
Approve edilmiş olan IP adresleri Approved IP bölümünde gözükecektir.

192.168.100.83 ip adresini approve ettikten sonra ping atmayı denersek şeklinde olacaktır.

Kolay gelsin

Yazar hakkında

admin administrator

Bir cevap yazın