Les commutateurs standard VMware assurent une protection contre certaines menaces pour la sécurité du VLAN. En raison de la manière dont certains commutateurs standard sont conçus, ils protègent les VLAN contre un grand nombre d'attaques, dont un grand nombre implique le VLAN hopping.
Disposer de cette protection ne garantit pas que la configuration de vos machines virtuelles n'est pas vulnérable à d'autres types d'attaques. Par exemple, les commutateurs standard ne protègent pas le réseau physique contre ces attaques : ils protègent uniquement le réseau virtuel.
Les commutateurs standard et les VLAN peuvent protéger des types d'attaques suivants.
Comme de nouvelles menaces de sécurité continuent à se développer, ne considérez pas cela comme une liste exhaustive des attaques. Vérifiez régulièrement les ressources de sécurité de VMware sur le Web pour en savoir plus sur la sécurité, les alertes de sécurité récentes et les tactiques de sécurité de VMware.
Saturation MAC
La saturation MAC permet de saturer un commutateur avec des paquets contenant des adresses MAC balisées comme provenant de sources différentes. De nombreux commutateurs utilisent une table de mémoire adressable par contenu pour détecter et stocker l'adresse source de chaque paquet. Lorsque la table est pleine, le commutateur peut passer dans un état totalement ouvert dans lequel chaque paquet entrant est diffusé sur tous les ports, permettant à l'attaquant de voir tout le trafic du commutateur. Cet état peut provoquer une fuite des paquets sur les VLAN.
Bien que les commutateurs standard de VMware stockent la table d'adresses MAC, ils n'obtiennent pas les adresses MAC du trafic observable et ne sont pas vulnérables à ce type d'attaque.
Attaques 802.1q et de balisage ISL
Les attaques 802.1q et de balisage ISL forcent un commutateur à rediriger des trames d'un VLAN à un autre en amenant le commutateur à agir comme un tronçon et à diffuser le trafic aux autres VLAN.
Les commutateurs standard de VMware n'effectuent pas la jonction dynamique requise pour ce type d'attaque et ne sont pas par conséquent vulnérables.
Attaques à double encapsulation
Les attaques à double encapsulation surviennent lorsqu'un attaquant crée un paquet à double encapsulation dans lequel l'identifiant de VLAN dans la balise interne est différent de l'identifiant de VLAN dans la balise externe. Pour des raisons de compatibilité descendante, les VLAN natifs ôtent la balise externe des paquets transmis sauf s'ils sont configurés pour ne pas le faire. Lorsque le commutateur d'un VLAN natif ôte la balise externe, seule la balise interne reste et cette balise interne achemine le paquet à un VLAN différent de celui identifié par la balise externe maintenant manquante.
Les commutateurs standard de VMware rejettent les trames à double encapsulation qu'une machine virtuelle tente d'envoyer sur un port configuré pour un VLAN spécifique. Par conséquent, ils ne sont pas vulnérables à ce type d'attaque.
Attaques de force brute multidiffusion
Impliquent l'envoi d'un grand nombre de trames multidiffusion à un VLAN connu presque simultanément pour surcharger le commutateur afin qu'il autorise par erreur la diffusion de certaines trames sur d'autres VLAN.
Les commutateurs standard de VMware ne permettent pas aux cadres de quitter leur domaine de diffusion correspondant (VLAN) et ne sont pas vulnérables à ce type d'attaque.
Attaques d'arborescence
Les attaques d'arborescence ciblent le protocole STP (Spanning-Tree Protocol), qui est utilisé pour contrôler le pontage entre des parties du LAN. L'attaquant envoie des paquets Bridge Protocol Data Unit (BPDU) qui tentent de modifier la topologie du réseau, en se définissant comme le pont racine. En tant que pont racine, l'attaquant peut renifler le contenu des cadres transmis.
Les commutateurs standard de VMware ne prennent pas en charge STP et ne sont pas vulnérables à ce type d'attaque.
Attaques à trame aléatoire
Les attaques à trame aléatoire impliquent l'envoi d'un grand nombre de paquets dans lesquels les adresses de source et de destination restent identiques, mais dans lesquels les zones sont modifiées aléatoirement en longueur, type ou contenu. L'objectif de cette attaque est de forcer les paquets à être réacheminés par erreur vers un VLAN différent.
Les commutateurs standard de VMware ne sont pas vulnérables à ce type d'attaque.