VMware の標準スイッチは、VLAN の特定のセキュリティ脅威に対する保護を提供します。標準スイッチの設計により、主に VLAN ホッピングに関係するさまざまな攻撃から VLAN を保護します。

ただし、この保護により、仮想スイッチ構成がその他のタイプの攻撃に対して強化されるわけではありません。たとえば、標準スイッチは、これらの攻撃から物理ネットワークを保護しません。 仮想ネットワークのみを保護します。

標準スイッチおよび VLAN は、次のタイプの攻撃から保護できます。

MAC フラッディング

送信元が異なるとタグ付けされた MAC アドレスを含むパケットで、スイッチをフラッディングします。多くのスイッチは、CAM (Content-Addressable Memory) テーブルを使用して、各パケットの送信元アドレスを学習および保存します。テーブルがいっぱいになると、スイッチは完全に開いた状態になり、すべての着信パケットがすべてのポートにブロードキャストされることがあります。この場合、攻撃者はすべてのスイッチのトラフィックを参照できます。この状態では、VLAN でパケットがリークする可能性があります。

VMware 標準スイッチは MAC アドレス テーブルを保存しますが、観測可能なトラフィックから MAC アドレスを取得しないので、このタイプの攻撃に対する耐性がありません。

802.1q および ISL タギング攻撃

スイッチをトランクとして機能するように不正に操作し、トラフィックをほかの VLAN にブロードキャストすることで、ある VLAN から別の VLAN へフレームがリダイレクトされるようにスイッチを強制します。

VMware 標準スイッチは、このタイプの攻撃で必要な動的トランキングを実行しないので、このタイプの攻撃に対する耐性があります。

ダブル カプセル化攻撃

内部タグの VLAN ID が外部タグの VLAN ID と異なるダブル カプセル化パケットを攻撃者が作成したときに発生します。後方互換性のため、ネイティブ VLAN は、転送されたパケットから外側のタグを取り外します （無効に設定されていない場合）。ネイティブ VLAN スイッチが外側のタグを取り外すと、内側のタグだけが残ります。 この内側のタグは、取り外された外側のタグで識別される VLAN とは異なる VLAN にパケットを送ります。

VMware 標準スイッチは、特定の VLAN に構成されているポートに仮想マシンが送信しようとする任意のダブル カプセル化フレームを削除します。したがって、このタイプの攻撃に対する耐性があります。

マルチキャスト総当り攻撃

存在が分かっている VLAN にほぼ同時に大量のマルチキャストのフレームを送信してスイッチに負荷をかけ、一部のフレームを別の VLAN へ誤ってブロードキャストさせます。

VMware 標準スイッチでは、フレームはその正しいブロードキャスト ドメイン (VLAN) の外へ出ることはできないので、このタイプの攻撃に対する耐性があります。

スパニング ツリー攻撃

LAN の各部分のブリッジを制御するときに使用される STP （Spanning-Tree Protocol） を標的にします。攻撃者は、ネットワーク トポロジを変更しようとする BPDU （Bridge Protocol Data Unit） パケットを送信し、攻撃者自体をルート ブリッジとして確立します。ルート ブリッジとなった攻撃者は、転送されるフレームの内容を傍受できます。

VMware 標準スイッチは、STP をサポートしていないので、このタイプの攻撃に対する耐性があります。

ランダム フレーム攻撃

ソースとターゲットのアドレスは同じでも、フィールドの長さ、タイプ、または内容がランダムに変わるパケットを大量に送信します。この攻撃の目的は、別の VLAN にパケットが誤って送信されるようにすることです。

VMware 標準スイッチは、このタイプの攻撃に対する耐性があります。

新しいセキュリティ脅威は常に開発されるので、これは攻撃の完全なリストではありません。セキュリティ、最新のセキュリティ警告、VMware セキュリティ戦術については、Web 上で VMware のセキュリティ関連資料を定期的に確認してください。