I commutatori standard VMware offrono protezione da determinate minacce alla sicurezza della VLAN. Dato il modo in cui sono stati progettati, i commutatori standard proteggono le VLAN da diversi attacchi, molti dei quali comportano il VLAN hopping.
Tale protezione non garantisce che la configurazione della macchina virtuale sia invulnerabile ad altri tipi di attacco. Ad esempio, i commutatori standard non proteggono la rete fisica da questi attacchi. Proteggono solo la rete virtuale.
I commutatori standard e le VLAN possono essere protetti dai seguenti tipi di attacchi.
Poiché nel tempo vengono sviluppate nuove minacce alla sicurezza, questo non è da considerarsi un elenco esaustivo di attacchi. Verificare regolarmente le risorse di VMware sulla sicurezza disponibili sul Web per informazioni sulla sicurezza, sui recenti avvisi di sicurezza e sulle tattiche di sicurezza di VMware.
MAC flooding
Il MAC flooding esegue il flooding di un commutatore con pacchetti che contengono indirizzi MAC contrassegnati come provenienti da origini diverse. Molti commutatori utilizzano una tabella di memoria gestibile tramite contenuti per apprendere e archiviare l'indirizzo di origine per ogni pacchetto. Quando la tabella è piena, il commutatore può passare a uno stato completamente aperto in cui ogni pacchetto in entrata viene trasmesso in tutte le porte, consentendo all'autore dell'attacco di visualizzare tutto il traffico del commutatore. Questo stato potrebbe causare la perdita di pacchetti tra le VLAN.
Anche se nei commutatori standard VMware è archiviata una tabella di indirizzi MAC, non ottengono gli indirizzi MAC dal traffico osservabile e non sono vulnerabili a questo tipo di attacco.
Attacchi di assegnazione tag 802.1q e ISL
Gli attacchi di assegnazione tag 802.1q e ISL forzano un commutatore a reindirizzare i frame da una VLAN a un'altra ingannando il commutatore in modo che agisca come un trunk e trasmetta il traffico alle altre VLAN.
I commutatori standard VMware non eseguono il trunking dinamico necessario per questo tipo di attacco e non sono pertanto vulnerabili.
Attacchi a doppio incapsulamento
Gli attacchi a doppio incapsulamento si verificano quando un utente malintenzionato crea un pacchetto a doppio incapsulamento in cui l'identificatore della VLAN nel tag interno è diverso da quello nel tag esterno. Per la compatibilità con le versioni precedenti, le VLAN native rimuovono il tag esterno dai pacchetti trasmessi, a meno che non siano configurate per procedere diversamente. Quando il commutatore di una VLAN nativa rimuove il tag esterno, rimane solo il tag interno, che instrada il pacchetto verso una VLAN diversa da quella identificata nel tag esterno ora mancante.
I commutatori standard VMware eliminano tutti i frame a doppio incapsulamento che una macchina virtuale tenta di inviare su una porta configurata per una VLAN specifica. Non sono pertanto vulnerabili a questo tipo di attacco.
Attacchi di forza bruta multicast
Comportano l'invio quasi simultaneo di un grande numero di frame multicast a una VLAN nota per sovraccaricare il commutatore in modo che consenta erroneamente la trasmissione di alcuni dei frame ad altre VLAN.
I commutatori standard VMware non consentono ai frame di lasciare il dominio di broadcast (VLAN) corretto e non sono vulnerabili a questo tipo di attacco.
Attacchi Spanning Tree
Gli attacchi Spanning Tree sono diretti al protocollo Spanning Tree (STP), che viene utilizzato per controllare il bridging tra le parti della LAN. L'autore dell'attacco invia pacchetti Bridge Protocol Data Unit (BPDU) che tentano di modificare la topologia di rete comportandosi come il bridge root. In qualità di bridge root, l'autore dell'attacco può scoprire il contenuto dei frame trasmessi.
I commutatori standard VMware non supportano STP e non sono vulnerabili a questo tipo di attacco.
Attacchi di frame casuali
Gli attacchi di frame casuali comportano l'invio di un numero elevato di pacchetti in cui gli indirizzi di origine e di destinazione rimangono uguali, ma la lunghezza, il tipo e il contenuto dei campi vengono modificati casualmente. L'obiettivo di questo attacco è obbligare il reindirizzamento erroneo dei pacchetti a una VLAN diversa.
I commutatori standard VMware non sono vulnerabili a questo tipo di attacco.