我有一台 Windows 2008 R2 SP1 标准专用服务器,并在其上安装了 Hyper-V 角色。
我在此服务器上提供 Hyper-V VPS,并且我无法信任虚拟节点。现在的问题是每个节点都可以安装像 Cain&Abel 这样的嗅探器工具,并使用 MAC SPOOFING 和 APR Poisoning 其他节点来嗅探该服务器上的其他节点。
我怎样才能防止我的虚拟节点嗅探其他节点?
我没有在任何节点上使用旧式网络适配器,并且我在所有节点上都取消选中了“启用 MAC 地址欺骗”,但是当我在其中一个节点上运行 Cain & Abel 并尝试通过 APR 中毒方法嗅探其他节点时,我可以嗅探到那些节点。
我的服务器只有一个物理网络适配器,因此我只能创建一个虚拟网络适配器。我发现了一种方法,可以通过在我的服务器上为每个节点使用多个虚拟网络来防止这种方法(MAC 欺骗和 APR 中毒),但是许多数据中心没有安装多个连接到互联网的网络适配器,因此我无法使用这种方法。
此外,我的服务器防火墙和所有节点防火墙均已打开,并且我的主机操作系统和所有客户操作系统均已更新。
答案1
这些漏洞存在于任何第 2 层段、虚拟化或否 - MAC 欺骗可以由知道其正在做什么的虚拟机管理程序过滤(看起来 Hyper-V 可以在 2008 R2 中执行此操作),但 ARP 中毒是与恶意设备位于同一第 2 层段的固有风险(有一些缓解选项,但它们并不适用于您的情况)。
如果你不能信任你的虚拟机,请将它们分成不同的 Vlan - 或者如果它们必须位于同一第 2 层网段,请查看私有 VLAN(我非常怀疑 Hyper-V 是否支持它)。
答案2
我没有运行 Hyper-V,但您不能为每个客户机设置单独的虚拟网络,然后让主机将请求路由到相关客户机吗?这是我在任何我曾经使用过的其他虚拟化系统。