VMware 표준 스위치는 VLAN 보안의 특정 위협에 대한 보호 조치를 제공합니다. 표준 스위치는 그 설계 방식 때문에 VLAN 호핑이 포함된 다양한 공격으로부터 VLAN을 보호합니다.

이러한 보호를 적용하더라도 가상 시스템 구성은 여전히 다른 유형의 공격에 취약할 수 있습니다. 예를 들어 표준 스위치는 이러한 공격으로부터 물리적 네트워크를 보호하지 않으며 가상 네트워크만 보호합니다.

표준 스위치 및 VLAN은 다음과 같은 유형의 공격으로부터 보호할 수 있습니다.

시간이 지나면 새로운 보안 위협이 발생하므로 이 목록을 전체 공격 목록으로 간주하지 마십시오. 웹에서 VMware 보안 리소스를 정기적으로 확인하여 보안, 최근 보안 경고 및 VMware 보안 전술에 대해 알아보십시오.

MAC 플러딩

MAC 플러딩은 다른 소스에서 온 것으로 태그가 지정된 MAC 주소가 포함된 패킷으로 스위치를 플러딩합니다. 많은 스위치가 CAM(내용 주소 지정 가능 메모리) 테이블을 사용하여 각 패킷의 소스 주소를 학습하고 저장합니다. 이 테이블이 가득 차면 스위치가 완전히 열린 상태로 전환되어 들어오는 모든 패킷이 모든 포트에서 브로드캐스트되므로 공격자가 스위치의 모든 트래픽을 볼 수 있습니다. 이 상태로 인해 VLAN 전체에서 패킷 누수가 발생할 수 있습니다.

VMware 표준 스위치는 MAC 주소 테이블을 저장하지만 관찰 가능한 트래픽에서 MAC 주소를 얻지 않으며 이러한 유형의 공격에 취약하지 않습니다.

802.1q 및 ISL 태그 지정 공격

802.1q 및 ISL 태그 지정 공격은 스위치가 트렁크 역할을 하도록 속이고 트래픽을 다른 VLAN에 브로드캐스트하여 한 VLAN에서 다른 VLAN으로 프레임을 리디렉션하도록 강제합니다.

VMware 표준 스위치는 이러한 유형의 공격에 필요한 동적 트렁킹을 수행하지 않으며 따라서 취약하지 않습니다.

이중 캡슐화 공격

이중 캡슐화 공격은 공격자가 내부 태그의 VLAN 식별자가 외부 태그의 VLAN 식별자와 다른 이중 캡슐화 패킷을 생성할 때 발생합니다. 이전 버전과의 호환성을 위해 네이티브 VLAN은 달리 구성하지 않는 한 전송된 패킷에서 외부 태그를 제거합니다. 네이티브 VLAN 스위치가 외부 태그를 제거하면 내부 태그만 남게 되고 이런 내부 태그는 현재 누락된 외부 태그에서 식별된 것과는 다른 VLAN으로 패킷을 라우팅합니다.

VMware 표준 스위치는 가상 시스템이 특정 VLAN에 대해 구성된 포트에서 전송을 시도하는 이중 캡슐화 프레임을 삭제합니다. 따라서 이러한 유형의 공격에 취약하지 않습니다.

멀티캐스트 무차별 대입 공격

대량의 멀티캐스트 프레임을 알려진 VLAN에 거의 동시에 전송하여 스위치에 과부하를 주어 일부 프레임이 다른 VLAN으로 잘못 브로드캐스트되도록 합니다.

VMware 표준 스위치는 프레임이 올바른 브로드캐스트 도메인(VLAN)을 벗어나는 것을 허용하지 않으므로 이러한 유형의 공격에 취약하지 않습니다.

스패닝 트리 공격

스패닝 트리 공격은 LAN의 부분 간 브리징을 제어하는 데 사용되는 STP(스패닝 트리 프로토콜)를 대상으로 합니다. 공격자는 네트워크 토폴로지 변경을 시도하는 BPDU(Bridge Protocol Data Unit) 패킷을 전송하여 자신을 루트 브리지로 설정합니다. 루트 브리지인 공격자는 전송된 프레임 내용을 스니핑할 수 있습니다.

VMware 표준 스위치는 STP를 지원하지 않으므로 이러한 유형의 공격에 취약하지 않습니다.

랜덤 프레임 공격

랜덤 프레임 공격은 소스 및 대상 주소는 동일하게 유지되지만 필드의 길이, 유형 또는 내용이 무작위로 변경되는 많은 수의 패킷이 전송되는 공격입니다. 이 공격의 목표는 패킷이 실수로 다른 VLAN으로 다시 라우팅되도록 강제하는 것입니다.

VMware 표준 스위치는 이러한 유형의 공격에 취약하지 않습니다.