Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Kapitel 12 Absichern einer <strong>ESX</strong>-Konfiguration<br />
belle voll ist, schaltet der Switch ggf. in einen vollständig geöffneten Status um,<br />
in dem alle eingehenden Pakete auf allen Ports übertragen werden, sodass der<br />
Angreifer den gesamten Datenverkehr des Switches verfolgen kann. In diesem<br />
Fall kann es auch zu Paketlecks in andere VLANs kommen.<br />
Zwar speichern die virtuellen Switches von <strong>VMware</strong> eine MAC-Adressentabelle,<br />
aber sie erhalten die MAC-Adressen nicht von erkennbarem Datenverkehr<br />
und sind daher gegen diese Art von Angriffen immun.<br />
Angriffe durch 802.1qund<br />
ISL-Kennzeichnung<br />
Bei diesem Angriff werden die Datenblöcke durch den Switch an ein anderes<br />
VLAN weitergeleitet, indem der Switch durch einen Trick dazu gebracht wird,<br />
als Verbindungsleitung zu fungieren und den Datenverkehr an andere VLANs<br />
weiterzuleiten.<br />
Die virtuellen Switches von <strong>VMware</strong> führen das dynamische Trunking, das <strong>für</strong><br />
diese Art des Angriffs notwendig ist, nicht aus, und sind daher immun.<br />
Doppelt eingekapselte<br />
Angriffe<br />
Bei dieser Art von Angriffen erstellt der Angreifer ein doppelt eingekapseltes<br />
Paket, in dem sich der VLAN-Bezeichner im inneren Tag vom VLAN-Bezeichner<br />
im äußeren Tag unterscheidet. Um Rückwärtskompatibilität zu gewährleisten,<br />
entfernen native VLANs standardmäßig das äußere Tag von übertragenen<br />
Paketen. Wenn ein nativer VLAN-Switch das äußere Tag entfernt, bleibt<br />
nur das innere Tag übrig, welches das Paket zu einem anderen VLAN weiterleitet,<br />
als im jetzt fehlenden äußeren Tag angegeben war.<br />
Die virtuellen Switches von <strong>VMware</strong> verwerfen alle doppelt eingekapselten<br />
Datenblöcke, die eine virtuelle Maschine auf einem <strong>für</strong> ein bestimmtes VLAN<br />
konfigurierten Port senden möchte. Daher sind sie immun gegen diese Art von<br />
Angriffen.<br />
Multicast-Brute-Force-<br />
Angriffe<br />
Bei diesen Angriffen wird eine große Anzahl von Multicast-Datenblöcken fast<br />
zeitgleich an ein bekanntes VLAN gesendet, um den Switch zu überlasten, damit<br />
er versehentlich einige Datenblöcke in andere VLANs überträgt.<br />
Die virtuellen Switches von <strong>VMware</strong> erlauben es Datenblöcken nicht, ihren<br />
richtigen Übertragungsbereich (VLAN) zu verlassen und sind daher gegen<br />
diese Art von Angriffen immun.<br />
Spanning-Tree-Angriffe<br />
Diese Angriffe zielen auf das Spanning-Tree-Protokoll (STP), das <strong>zur</strong> Steuerung<br />
der Überbrückung verschiedener Teile des LANs verwendet wird. Der<br />
Angreifer sendet Pakete der Bridge Protocol Data Unit (BPDU) in dem Versuch,<br />
die Netzwerktopologie zu ändern und sich selbst als Root-Bridge einzusetzen.<br />
Als Root-Bridge kann der Angreifer dann die Inhalte übertragener Datenblöcke<br />
mitschneiden.<br />
Die virtuellen Switches von <strong>VMware</strong> unterstützen STP nicht und sind daher<br />
gegen diese Art von Angriffen immun.<br />
Zufallsdatenblock-Angriffe<br />
Bei diesen Angriffen wird eine große Anzahl Pakete gesendet, bei denen die<br />
Quell- und Zieladressen gleich sind, diese jedoch Felder unterschiedlicher<br />
Länge, Art und mit verschiedenem Inhalt enthalten. Ziel des Angriffes ist es<br />
zu erzwingen, dass Pakete versehentlich in ein anderes VLAN fehlgeleitet<br />
werden.<br />
Die virtuellen Switches von <strong>VMware</strong> sind gegen diese Art von Angriffen immun.<br />
Da mit der Zeit immer neue Sicherheitsgefahren auftreten, kann diese Liste möglicher Angriffe nicht vollständig<br />
sein. Rufen Sie regelmäßig die <strong>VMware</strong>-Sicherheitsressourcen im Internet ab, um mehr über Sicherheit,<br />
neue Sicherheitswarnungen und die Sicherheitstaktiken von <strong>VMware</strong> zu erfahren.<br />
<strong>VMware</strong>, Inc. 183