VMware 표준 스위치는 VLAN 보안의 특정 위협에 대한 보호 조치를 제공합니다. 표준 스위치는 그 설계 방식 때문에 대부분 VLAN 호핑이 관련된 다양한 공격으로부터 VLAN을 보호합니다.

이 보호를 적용하더라도 가상 시스템 구성은 여전히 다른 유형의 공격에 취약할 수 있습니다. 예를 들어 표준 스위치는 이러한 공격으로부터 물리적 네트워크는 보호하지 않고 가상 네트워크만 보호합니다.

표준 스위치 및 VLAN은 다음 유형의 공격으로부터 보호할 수 있습니다.

MAC 플러딩

다른 소스로부터 들어오는 것으로 태그가 지정된 MAC 주소를 포함하는 패킷들로 스위치에 과부하를 야기합니다. 대부분의 스위치는 내용 주소 지정 가능 메모리 테이블을 사용하여 각 패킷의 소스 주소를 파악하고 저장합니다. 이 테이블이 가득 차면 스위치는 수신되는 모든 패킷이 모든 포트에서 브로드캐스팅되는 완전 개방 상태에 들어가므로 공격자가 스위치의 모든 트래픽을 볼 수 있게 됩니다. 이 상태가 되면 VLAN에서 패킷 유출이 발생할 수 있습니다.

VMware 표준 스위치는 MAC 주소 테이블을 저장하기는 하지만 관찰 가능한 트래픽에서 MAC 주소를 가져오지 않기 때문에 이러한 유형의 공격에 취약하지 않습니다.

802.1q 및 ISL 태그 지정 공격

트렁크로 작동하고 트래픽을 다른 VLAN으로 브로드캐스팅하도록 스위치를 속여 스위치가 프레임을 한 VLAN에서 다른 VLAN으로 리디렉션하도록 합니다.

VMware 표준 스위치는 이러한 유형의 공격에 필요한 동적 트렁킹을 수행하지 않으므로 취약하지 않습니다.

이중 캡슐화 공격

공격자가 내부 태그의 VLAN 식별자가 외부 태그의 VLAN 식별자와 다른 이중 캡슐화 패킷을 만들 때 발생하는 공격입니다. 네이티브 VLAN은 다르게 동작하도록 구성하지 않는 한 이전 버전과의 호환성을 위해 전송된 패킷에서 외부 태그를 제거합니다. 네이티브 VLAN 스위치가 외부 태그를 제거하면 내부 태그만 남게 되고 이 내부 태그는 제거된 외부 태그에 식별되었던 것과 다른 VLAN으로 패킷을 라우팅합니다.

VMware 표준 스위치는 가상 시스템이 특정 VLAN에 대해 구성된 포트로 전송을 시도하는 모든 이중 캡슐화 프레임을 버립니다. 따라서 이 유형의 공격에 취약하지 않습니다.

멀티캐스트 무차별 암호 대입 공격(brute force attack)

대량의 멀티캐스트 프레임을 알려진 VLAN으로 거의 동시에 전송하여 스위치 오버로드를 유발하고 결과적으로 프레임 일부가 실수로 다른 VLAN에 브로드캐스팅되도록 합니다.

VMware 표준 스위치는 프레임이 올바른 브로드캐스트 도메인(VLAN)을 벗어나는 것을 허용하지 않기 때문에 이러한 유형의 공격에 취약하지 않습니다.

스패닝 트리(spanning tree) 공격

LAN의 부분 간 브리지를 제어하는 데 사용되는 STP(Spanning-Tree Protocol)를 대상으로 합니다. 공격자는 네트워크 토폴로지 변경을 시도하는 BPDU(Bridge Protocol Data Unit) 패킷을 전송하여 스스로를 루트 브리지로 설정합니다. 루트 브리지가 되면 공격자는 전송되는 프레임의 내용을 엿볼 수 있습니다.

VMware 표준 스위치는 STP를 지원하지 않으므로 이 유형의 공격에 취약하지 않습니다.

임의 프레임 공격

소스 및 대상 주소가 동일하게 유지되지만 필드의 길이, 유형 또는 내용이 임의로 변경되는 대량의 패킷을 전송합니다. 이 공격의 목표는 패킷이 실수로 다른 VLAN으로 다시 라우팅되게 하려는 것입니다.

VMware 표준 스위치는 이러한 공격에 대해 취약하지 않습니다.

시간이 지남에 따라 보안 위협이 새로 개발되므로 이 공격 목록이 전부일 것이라고 여기지 마십시오. 웹에서 VMware 보안 리소스를 정기적으로 확인하여 보안, 최신 보안 경고 및 VMware 보안 대책을 알아두십시오.