Os switches padrão VMware oferecem proteção contra determinadas ameaças à segurança da VLAN. Devido à maneira como os switches padrão são projetados, eles protegem as VLANs contra uma variedade de ataques, muitos dos quais envolvem saltos de VLAN.
Ter essa proteção não garante que a configuração da sua máquina virtual seja invulnerável a outros tipos de ataques. Por exemplo, switches padrão não protegem a rede física contra esses ataques; eles protegem apenas a rede virtual.
Switches e VLANs padrão podem proteger contra os seguintes tipos de ataques.
Como novas ameaças de segurança se desenvolvem com o tempo, não considere essa lista exaustiva de ataques. Verifique regularmente os recursos de segurança VMware no Web para saber mais sobre segurança, alertas de segurança recentes e VMware táticas de segurança.
Inundação MAC
A inundação de MAC inunda um switch com pacotes que contêm endereços MAC marcados como provenientes de diferentes origens. Muitos switches usam uma tabela de memória endereçável por conteúdo para aprender e armazenar o endereço de origem de cada pacote. Quando a tabela está cheia, o switch pode entrar em um estado totalmente aberto no qual cada pacote de entrada é transmitido em todas as portas, permitindo que o invasor veja todo o tráfego no switch. Esse estado pode resultar em vazamento de pacotes nas VLANs.
Embora os switches padrão VMware armazenem uma tabela de endereços MAC, eles não obtêm os endereços MAC do tráfego observável e não são vulneráveis a esse tipo de ataque.
Ataques de marcação 802.1q e ISL
Os ataques de marcação 802.1q e ISL forçam um switch a redirecionar quadros de uma VLAN para outra, enganando o switch para que ele aja como um tronco e transmita o tráfego para outras VLANs.
Os switches padrão VMware não realizam o entroncamento dinâmico necessário para esse tipo de ataque e, portanto, não são vulneráveis.
Ataques de encapsulamento duplo
Os ataques de encapsulamento duplo ocorrem quando um invasor cria um pacote de encapsulamento duplo no qual o identificador de VLAN na etiqueta interna é diferente do identificador de VLAN na etiqueta externa. Para compatibilidade com versões anteriores, as VLANs nativas retiram a etiqueta externa dos pacotes transmitidos, a menos que configuradas para fazer o contrário. Quando um switch de VLAN nativo remove a etiqueta externa, apenas a etiqueta interna é deixada, e essa etiqueta interna roteia o pacote para uma VLAN diferente daquela identificada na etiqueta externa agora ausente.
Os switches padrão VMware descartam quaisquer quadros de encapsulamento duplo que uma máquina virtual tenta enviar em uma porta configurada para uma VLAN específica. Portanto, eles não são vulneráveis a esse tipo de ataque.
Ataques de força bruta multicast
Envolva o envio de um grande número de quadros multicast para uma VLAN conhecida quase que simultaneamente para sobrecarregar o switch, de modo que ele permita, por engano, que alguns dos quadros sejam transmitidos para outras VLANs.
Os switches padrão VMware não permitem que os quadros deixem seu domínio de transmissão correto (VLAN) e não são vulneráveis a esse tipo de ataque.
Ataques de Spanning Tree
Os ataques de Spanning Tree têm como alvo o Spanning-Tree Protocol (STP), que é usado para controlar a ponte entre partes da LAN. O invasor envia pacotes BPDU (Bridge Protocol Data Unit) que tentam alterar a topologia da rede, estabelecendo-se como a ponte raiz. Como ponte raiz, o invasor pode farejar o conteúdo dos quadros transmitidos.
VMware switches padrão não oferecem suporte a STP e não são vulneráveis a esse tipo de ataque.
Ataques de quadros aleatórios
Os ataques de quadros aleatórios envolvem o envio de um grande número de pacotes nos quais os endereços de origem e destino permanecem os mesmos, mas os campos são alterados aleatoriamente em tamanho, tipo ou conteúdo. O objetivo desse ataque é forçar os pacotes a serem redirecionados por engano para uma VLAN diferente.
VMware switches padrão não são vulneráveis a esse tipo de ataque.