Proteção de switch padrão e VLANs

Os switches padrão VMware fornecem proteções contra certas ameaças à segurança da VLAN. Devido à maneira como os switches padrão são projetados, eles protegem as VLANs contra uma variedade de ataques, muitos dos quais envolvem saltos de VLAN.

Ter essa proteção não garante que a configuração da sua máquina virtual seja invulnerável a outros tipos de ataques. Por exemplo, switches padrão não protegem a rede física contra esses ataques; eles protegem apenas a rede virtual.

Switches padrão e VLANs podem proteger contra os seguintes tipos de ataques.

Inundação de MAC: Inunda um switch com pacotes que contêm endereços MAC marcados como provenientes de diferentes origens. Muitos switches usam uma tabela de memória endereçável por conteúdo para aprender e armazenar o endereço de origem de cada pacote. Quando a tabela está cheia, o switch pode entrar em um estado totalmente aberto no qual cada pacote de entrada é transmitido em todas as portas, permitindo que o invasor veja todo o tráfego do switch. Esse estado pode resultar em vazamento de pacotes entre VLANs.
Embora os switches padrão VMware armazenem uma tabela de endereços MAC, eles não obtêm os endereços MAC do tráfego observável e não são vulneráveis a esse tipo de ataque.
Ataques de marcação 802.1q e ISL: Force um switch a redirecionar quadros de uma VLAN para outra, fazendo com que o switch atue como um tronco e transmita o tráfego para outras VLANs.
Os switches padrão VMware não executam o entroncamento dinâmico necessário para esse tipo de ataque e, portanto, não são vulneráveis.
Ataques de encapsulamento duplo: Ocorre quando um invasor cria um pacote encapsulado duplo no qual o identificador de VLAN na tag interna é diferente do identificador de VLAN na tag externa. Para compatibilidade com versões anteriores, as VLANs nativas retiram a etiqueta externa dos pacotes transmitidos, a menos que configuradas para fazer o contrário. Quando um switch de VLAN nativo remove a tag externa, apenas a tag interna é deixada, e essa tag interna roteia o pacote para uma VLAN diferente daquela identificada na tag externa agora ausente.
Os switches padrão VMware descartam todos os quadros encapsulados duplamente que uma máquina virtual tenta enviar em uma porta configurada para uma VLAN específica. Portanto, eles não são vulneráveis a esse tipo de ataque.
Ataques multicast de força bruta: Envolva o envio de um grande número de quadros multicast para uma VLAN conhecida quase simultaneamente para sobrecarregar o switch para que ele permita, por engano, que alguns dos quadros sejam transmitidos para outras VLANs.
Os switches padrão VMware não permitem que os quadros saiam de seu domínio de transmissão correto (VLAN) e não são vulneráveis a esse tipo de ataque.
Ataques de Spanning Tree: Target Spanning-Tree Protocol (STP), que é usado para controlar a ponte entre partes da LAN. O invasor envia pacotes de BPDU (Bridge Protocol Data Unit) que tentam alterar a topologia da rede, estabelecendo-se como a ponte raiz. Como a ponte raiz, o invasor pode detectar o conteúdo dos quadros transmitidos.
Os switches padrão VMware não oferecem suporte ao STP e não são vulneráveis a esse tipo de ataque.
Ataques de quadro aleatórios: Envolva o envio de um grande número de pacotes nos quais os endereços de origem e de destino permanecem os mesmos, mas nos quais os campos são alterados aleatoriamente em tamanho, tipo ou conteúdo. O objetivo desse ataque é forçar os pacotes a serem redirecionados por engano para uma VLAN diferente.
VMware switches padrão não são vulneráveis a esse tipo de ataque.

Como novas ameaças de segurança se desenvolvem ao longo do tempo, não considere esta uma lista exaustiva de ataques. Verifique regularmente os VMware recursos de segurança na web para saber mais sobre segurança, alertas de segurança recentes e VMware táticas de segurança.