У меня есть стандартный выделенный сервер Windows 2008 R2 SP1, и я установил на него роль Hyper-V.
Я обслуживаю VPS Hyper-V на этом сервере и не могу доверять виртуальным узлам. Теперь проблема в том, что каждый узел может установить средство сниффера, такое как Cain & Abel, и прослушивать другие узлы на этом сервере, используя MAC SPOOFING и APR Poisoning других узлов.
как я могу запретить моим виртуальным узлам прослушивать другие узлы?
Я не использую устаревший сетевой адаптер ни на одном из моих узлов, а также снял флажок «Включить спуфинг MAC-адресов» на всех моих узлах, но когда я запускаю Cain & Abel на одном из моих узлов и пытаюсь прослушивать другие узлы с помощью APR Poisoning метод, я могу обнюхать этот узел.
у моего сервера есть только один физический сетевой адаптер, тогда я могу создать только один виртуальный сетевой адаптер. Я нашел способ предотвратить этот метод (MAC SPOOFING и APR Poisoning), используя более одной виртуальной сети на моем сервере для каждого узла, но многие центры обработки данных не устанавливают более одного сетевого адаптера, подключенного к Интернету, тогда я нельзя так использовать.
также мой брандмауэр сервера и брандмауэр всех узлов включены, а также моя ОС хоста и все мои гостевые ОС обновлены.
Эти уязвимости присутствуют на любой сегмент уровня 2, виртуализация или нет - подмена MAC-адреса может быть отфильтрована гипервизором, который знает, что он делает (похоже, что Hyper-V может делать в 2008 R2), но отравление ARP - это неотъемлемый риск оказаться на том же уровне 2 сегментировать как вредоносное устройство (есть несколько способов защиты, но они не применимы в вашем случае).
Если вы не можете доверять своим виртуальным машинам, разделите их на разные Vlan - или если они должны находиться в одном сегменте уровня 2, изучите частные вланы (что я очень сомневаюсь, что Hyper-V поддерживает).
Я не использую Hyper-V, но нельзя ли настроить отдельные виртуальные сети для каждого гостя, а затем отправлять запросы маршрута хоста соответствующему гостю? Так я бы сделал это в любой другая система виртуализации, которую я когда-либо использовал.