Los conmutadores estándar de VMware ofrecen elementos de protección contra ciertas amenazas para la seguridad de VLAN. Debido a la forma en que se diseñan, los conmutadores estándar protegen las VLAN contra una variedad de ataques, muchos de los cuales implican saltos de VLAN.
Contar con esta protección no garantiza que la configuración de la máquina virtual sea invulnerable a otros tipos de ataques. Por ejemplo, los conmutadores estándar no protegen la red física frente a estos ataques: protegen solo la red virtual.
Los conmutadores estándar y las VLAN pueden ofrecer protección contra los siguientes tipos de ataques.
Debido a que con el tiempo surgen nuevas amenazas de seguridad, no considere que esta lista de ataques está completa. Revise con regularidad los recursos de seguridad de VMware en la Web para obtener información sobre seguridad, alertas de seguridad recientes y tácticas de seguridad de VMware.
Desbordamiento de MAC
El desbordamiento de MAC desborda un conmutador con paquetes que contienen direcciones MAC etiquetadas como provenientes de diferentes orígenes. Muchos conmutadores utilizan una tabla de memoria de contenido direccionable que permite conocer y almacenar la dirección de origen para cada paquete. Cuando la tabla está completa, el conmutador puede entrar en un estado completamente abierto en el que todos los paquetes entrantes se difunden a todos los puertos; esto permite al atacante ver todo el tráfico del conmutador. Dicho estado puede resultar en la pérdida de paquetes en todas las VLAN.
Aunque los conmutadores estándar de VMware almacenan una tabla de direcciones MAC, no obtienen estas del tráfico observable y no son vulnerables a este tipo de ataque.
Ataques de etiquetado de ISL y 802.1q
Los ataques de etiquetado de ISL y 802.1q fuerzan a un conmutador a redirigir las tramas de una VLAN a otra; para ello, se engaña al conmutador para que actúe como un enlace troncal y difunda el tráfico hacia otras VLAN.
Los conmutadores estándar de VMware no llevan a cabo el enlace troncal dinámico requerido para este tipo de ataque y, por lo tanto, no son vulnerables.
Ataques de doble encapsulación
Los ataques de doble encapsulación se producen cuando un atacante crea un paquete de doble encapsulado donde el identificador de VLAN en la etiqueta interior es diferente del identificador de VLAN en la etiqueta exterior. Para lograr la compatibilidad con versiones anteriores, las VLAN nativas quitan la etiqueta exterior de los paquetes transmitidos a menos que se configure de otro modo. Cuando un conmutador de VLAN nativa quita la etiqueta exterior, queda solo la etiqueta interior, que enruta el paquete a una VLAN diferente de la que está identificada en la etiqueta exterior ahora faltante.
Los conmutadores estándar de VMware sueltan todas las tramas de doble encapsulado que una máquina virtual intenta enviar y lo hacen en un puerto configurado para una VLAN específica. Por lo tanto, no son vulnerables a este tipo de ataque.
Ataques de fuerza bruta de multidifusión
Implican el envío de gran cantidad de tramas de multidifusión a una VLAN conocida casi al mismo tiempo a fin de sobrecargar el conmutador de modo que, por error, permita que algunas de las tramas se difundan a otras VLAN.
Los conmutadores estándar de VMware no permiten que las tramas abandonen el dominio de difusión correcto (VLAN) y no son vulnerables a este tipo de ataque.
Ataques de árbol de expansión
Los ataques de árbol de expansión se dirigen al protocolo Spanning-Tree Protocol (STP), que se utiliza para controlar el puente entre las partes de la red LAN. El atacante envía paquetes de Bridge Protocol Data Unit (BPDU) que intentan cambiar la topología de la red y se establecen a sí mismos como el puente raíz. Como puente raíz, el atacante puede capturar el contenido de las tramas difundidas.
Los conmutadores estándar de VMware no son compatibles con el protocolo STP y no son vulnerables a este tipo de ataque.
Ataques de trama aleatoria
Los ataques de trama aleatoria implican enviar grandes cantidades de paquetes donde las direcciones de origen y destino permanecen iguales, pero se cambia de forma aleatoria la longitud, el tipo o el contenido de los campos. El objetivo de este ataque es forzar a los paquetes a que, por error, se vuelvan a enrutar a una VLAN diferente.
Los conmutadores estándar de VMware no son vulnerables a este tipo de ataque.