Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi - VMware
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Schutz durch virtuelle Switches in VLANs<br />
Die virtuellen Switches von <strong>VMware</strong> schützen gegen bestimmte Bedrohungen der VLAN-Sicherheit. Durch<br />
den Aufbau der virtuellen Switches schützen sie VLANs gegen viele Arten von Angriffen, die meist auf VLAN-<br />
Hopping basieren.<br />
Dieser Schutz garantiert jedoch nicht, dass Ihre virtuellen Maschinen gegen andere Arten von Angriffen immun<br />
sind. So schützen virtuelle Switches zum Beispiel nicht das physische Netzwerk vor diesen Angriffen,<br />
sie schützen nur das virtuelle Netzwerk.<br />
Virtuelle Switches und VLANs können gegen folgende Arten von Angriffen schützen:<br />
MAC-Flooding Diese Angriffe überschwemmen den Switch mit Datenpaketen, die MAC-Adressen<br />
enthalten, die als von verschiedenen Quellen stammend gekennzeichnet<br />
wurden. Viele Switches verwenden eine assoziative Speichertabelle (CAM-Tabelle),<br />
um die Quelladresse <strong>für</strong> jedes Datenpaket zu speichern. Wenn die Tabelle<br />
voll ist, schaltet der Switch ggf. in einen vollständig geöffneten Status um,<br />
in dem alle eingehenden Pakete auf allen Ports übertragen werden, sodass der<br />
Angreifer den gesamten Datenverkehr des Switches verfolgen kann. In diesem<br />
Fall kann es auch zu Paketlecks in andere VLANs kommen.<br />
Zwar speichern die virtuellen Switches von <strong>VMware</strong> eine MAC-Adressentabelle,<br />
aber sie erhalten die MAC-Adressen nicht von erkennbarem Datenverkehr<br />
und sind daher gegen diese Art von Angriffen immun.<br />
Angriffe durch 802.1qund<br />
ISL-Kennzeichnung<br />
Doppelt gekapselte Angriffe<br />
Multicast-Brute-Force-<br />
Angriffe<br />
Kapitel 12 Absichern einer <strong>ESXi</strong>-Konfiguration<br />
Bei diesem Angriff werden die Datenblöcke durch den Switch an ein anderes<br />
VLAN weitergeleitet, indem der Switch durch einen Trick dazu gebracht wird,<br />
als Verbindungsleitung zu fungieren und den Datenverkehr an andere VLANs<br />
weiterzuleiten.<br />
Die virtuellen Switches von <strong>VMware</strong> führen das dynamische Trunking, das <strong>für</strong><br />
diese Art des Angriffs notwendig ist, nicht aus, und sind daher immun.<br />
Bei dieser Art von Angriffen erstellt der Angreifer ein doppelt gekapseltes Paket,<br />
in dem sich der VLAN-Bezeichner im inneren Tag vom VLAN-Bezeichner<br />
im äußeren Tag unterscheidet. Um Rückwärtskompatibilität zu gewährleisten,<br />
entfernen native VLANs standardmäßig das äußere Tag von übertragenen Paketen.<br />
Wenn ein nativer VLAN-Switch das äußere Tag entfernt, bleibt nur das<br />
innere Tag übrig, welches das Paket zu einem anderen VLAN weiterleitet, als<br />
im jetzt fehlenden äußeren Tag angegeben war.<br />
Die virtuellen Switches von <strong>VMware</strong> verwerfen alle doppelt eingekapselten<br />
Datenblöcke, die eine virtuelle Maschine auf einem <strong>für</strong> ein bestimmtes VLAN<br />
konfigurierten Port senden möchte. Daher sind sie immun gegen diese Art von<br />
Angriffen.<br />
Bei diesen Angriffen wird eine große Anzahl von Multicast-Datenblöcken fast<br />
zeitgleich an ein bekanntes VLAN gesendet, um den Switch zu überlasten, damit<br />
er versehentlich einige Datenblöcke in andere VLANs überträgt.<br />
Die virtuellen Switches von <strong>VMware</strong> erlauben es Datenblöcken nicht, ihren<br />
richtigen Übertragungsbereich (VLAN) zu verlassen und sind daher gegen<br />
diese Art von Angriffen immun.<br />
<strong>VMware</strong>, Inc. 153