VMware Standard-Switches bieten Schutzmaßnahmen gegen bestimmte Bedrohungen der VLAN-Sicherheit. Aufgrund der Art und Weise, wie Standard-Switches entworfen wurden, schützen sie VLANs vor einer Vielzahl von Angriffen, von denen viele VLAN-Hopping beinhalten.
Dieser Schutz garantiert nicht, dass die Konfiguration Ihrer virtuellen Maschinen gegen andere Arten von Angriffen geschützt ist. Standard-Switches schützen beispielsweise das physische Netzwerk nicht vor diesen Angriffen. Sie schützen nur das virtuelle Netzwerk.
Standard-Switches und VLANs können vor den folgenden Angriffstypen geschützt werden.
Da sich im Laufe der Zeit neue Sicherheitsbedrohungen entwickeln, sollten Sie dies nicht als vollständige Liste von Angriffen betrachten. Überprüfen Sie regelmäßig VMware-Sicherheitsressourcen im Internet, um mehr über Sicherheit, aktuelle Sicherheitswarnungen und VMware-Sicherheitstaktiken zu erfahren.
MAC-Flooding
Beim MAC-Flooding wird ein Switch mit Paketen überflutet, die MAC-Adressen enthalten, die als von verschiedenen Quellen stammend gekennzeichnet sind. Viele Switches verwenden eine Tabelle mit inhaltsadressierbarem Arbeitsspeicher, um die Quelladresse für jedes Paket zu erlernen und zu speichern. Wenn die Tabelle voll ist, kann der Switch in einen vollständig offenen Zustand übergehen, in dem jedes eingehende Paket an alle Ports gesendet wird, sodass der Angreifer den gesamten Datenverkehr des Switches sehen kann. Dieser Zustand kann zu Paketverlusten zwischen VLANs führen.
Obwohl VMware-Standard-Switches eine MAC-Adresstabelle speichern, beziehen sie die MAC-Adressen nicht aus dem beobachtbaren Datenverkehr und sind für diese Art von Angriff nicht anfällig.
802.1q- und ISL-Tagging-Angriffe
802.1q- und ISL-Tagging-Angriffe zwingen einen Switch dazu, Frames von einem VLAN in ein anderes umzuleiten, indem sie den Switch dazu bringen, als Trunk zu fungieren und den Datenverkehr an andere VLANs zu senden.
VMware-Standard-Switches führen das für diese Art von Angriff erforderliche dynamische Trunking nicht durch und sind daher nicht anfällig.
Angriffe mit doppelter Kapselung
Bei Angriffen mit doppelter Kapselung erstellt ein Angreifer ein doppelt gekapseltes Paket, bei dem die VLAN-Kennung im inneren Tag nicht mit der VLAN-Kennung im äußeren Tag übereinstimmt. Aus Gründen der Abwärtskompatibilität wird bei nativen VLANs das äußere Tag aus den übertragenen Paketen entfernt, sofern dies nicht anders konfiguriert ist. Wenn ein nativer VLAN-Switch das äußere Tag entfernt, bleibt nur das innere Tag übrig, und dieses innere Tag leitet das Paket an ein anderes VLAN weiter als das, das im nun fehlenden äußeren Tag angegeben ist.
VMware-Standard-Switches verwerfen alle doppelt gekapselten Frames, die eine virtuelle Maschine an einen Port sendet, der für ein bestimmtes VLAN konfiguriert ist. Daher sind sie nicht anfällig für diese Art von Angriff.
Multicast-Brute-Force-Angriffe
Hierbei wird eine große Anzahl von Multicast-Frames fast gleichzeitig an ein bekanntes VLAN gesendet, um den Switch zu überlasten, sodass er fälschlicherweise zulässt, dass einige der Frames an andere VLANs gesendet werden.
VMware-Standard-Switches lassen nicht zu, dass Frames ihre korrekte Broadcast-Domäne (VLAN) verlassen und sind für diese Art von Angriff nicht anfällig.
Spanning-Tree-Angriffe
Spanning-Tree-Angriffe zielen auf das Spanning-Tree-Protokoll (STP) ab, das zur Steuerung der Überbrückung zwischen Teilen des LAN verwendet wird. Der Angreifer sendet Bridge Protocol Data Unit (BPDU)-Pakete, die versuchen, die Netzwerktopologie zu ändern und sich als Root-Bridge zu etablieren. Als Root-Bridge kann der Angreifer den Inhalt der übertragenen Frames aussengen.
VMware-Standard-Switches unterstützen STP nicht und sind für diese Art von Angriffen nicht anfällig.
Zufällige Frame-Angriffe
Bei zufälligen Frame-Angriffen wird eine große Anzahl von Paketen gesendet, bei denen die Quell- und Zieladressen gleich bleiben, aber die Länge, der Typ oder der Inhalt der Felder zufällig geändert werden. Ziel dieses Angriffs ist es, zu erzwingen, dass Pakete fälschlicherweise an ein anderes VLAN umgeleitet werden.
VMware-Standard-Switches sind für diese Art von Angriff nicht anfällig.
