Schutz von Standard-Switches und VLANs

Die Standard-Switches von VMware schützen vor bestimmten Bedrohungen der VLAN-Sicherheit. Durch den Aufbau der Standard-Switches schützen sie VLANs gegen viele Arten von Angriffen, die meist auf VLAN-Hopping basieren.

Dieser Schutz garantiert jedoch nicht, dass Ihre virtuellen Maschinen gegen andere Arten von Angriffen immun sind. So schützen Standard-Switches zum Beispiel nicht das physische Netzwerk vor diesen Angriffen, sie schützen nur das virtuelle Netzwerk.

Standard-Switches und VLANs können gegen folgende Arten von Angriffen schützen:

MAC-Flooding: Diese Angriffe überschwemmen den Switch mit Datenpaketen, die MAC-Adressen enthalten, die als von verschiedenen Quellen stammend gekennzeichnet wurden. Viele Switches verwenden eine assoziative Speichertabelle, um die Quelladresse für jedes Datenpaket zu speichern. Wenn die Tabelle voll ist, schaltet der Switch ggf. in einen vollständig geöffneten Status um, in dem alle eingehenden Pakete auf allen Ports übertragen werden, sodass der Angreifer den gesamten Datenverkehr des Switches verfolgen kann. In diesem Fall kann es auch zu Paketlecks in andere VLANs kommen.
Zwar speichern die Standard-Switches von VMware eine MAC-Adressentabelle, aber sie erhalten die MAC-Adressen nicht von erkennbarem Datenverkehr und sind daher gegen diese Art von Angriffen immun.
Angriffe durch 802.1q- und ISL-Kennzeichnung: Bei diesem Angriff werden die Datenblöcke durch den Switch an ein anderes VLAN weitergeleitet, indem der Switch durch einen Trick dazu gebracht wird, als Verbindungsleitung zu fungieren und den Datenverkehr an andere VLANs weiterzuleiten.
Die Standard-Switches von VMware führen das dynamische Trunking, das für diese Art des Angriffs notwendig ist, nicht aus, und sind daher immun.
Doppelt gekapselte Angriffe: Bei dieser Art von Angriffen erstellt der Angreifer ein doppelt gekapseltes Paket, in dem sich der VLAN-Bezeichner im inneren Tag vom VLAN-Bezeichner im äußeren Tag unterscheidet. Um Rückwärtskompatibilität zu gewährleisten, entfernen native VLANs standardmäßig das äußere Tag von übertragenen Paketen. Wenn ein nativer VLAN-Switch das äußere Tag entfernt, bleibt nur das innere Tag übrig, welches das Paket zu einem anderen VLAN weiterleitet, als im jetzt fehlenden äußeren Tag angegeben war.
Die Standard-Switches von VMware verwerfen alle doppelt eingekapselten Datenblöcke, die eine virtuelle Maschine auf einem für ein bestimmtes VLAN konfigurierten Port senden möchte. Daher sind sie immun gegen diese Art von Angriffen.
Multicast-Brute-Force-Angriffe: Bei diesen Angriffen wird eine große Anzahl von Multicast-Datenblöcken fast zeitgleich an ein bekanntes VLAN gesendet, um den Switch zu überlasten, damit er versehentlich einige Datenblöcke in andere VLANs überträgt.
Die Standard-Switches von VMware erlauben es Datenblöcken nicht, ihren richtigen Übertragungsbereich (VLAN) zu verlassen und sind daher gegen diese Art von Angriffen immun.
Spanning-Tree-Angriffe: Diese Angriffe zielen auf das Spanning-Tree-Protokoll (STP), das zur Steuerung der Überbrückung verschiedener Teile des LANs verwendet wird. Der Angreifer sendet Pakete der Bridge Protocol Data Unit (BPDU) in dem Versuch, die Netzwerktopologie zu ändern und sich selbst als Root-Bridge einzusetzen. Als Root-Bridge kann der Angreifer dann die Inhalte übertragener Datenblöcke mitschneiden.
Die Standard-Switches von VMware unterstützen STP nicht und sind daher gegen diese Art von Angriffen immun.
Zufallsdatenblock-Angriffe: Bei diesen Angriffen wird eine große Anzahl Pakete gesendet, bei denen die Quell- und Zieladressen gleich sind, diese jedoch Felder unterschiedlicher Länge, Art und mit verschiedenem Inhalt enthalten. Ziel des Angriffes ist es zu erzwingen, dass Pakete versehentlich in ein anderes VLAN fehlgeleitet werden.
Die Standard-Switches von VMware sind gegen diese Art von Angriffen immun.

Da mit der Zeit immer neue Sicherheitsgefahren auftreten, kann diese Liste möglicher Angriffe nicht vollständig sein. Rufen Sie regelmäßig die VMware-Sicherheitsressourcen im Internet ab, um mehr über Sicherheit, neue Sicherheitswarnungen und die Sicherheitstaktiken von VMware zu erfahren.