Um roteador DHCP com whitelist de endereço MAC pode ser invadido por uma VM?

1

Bloqueei os endereços MAC de toda a minha rede para que somente as NICs na lista de desbloqueio possam obter um IP do servidor e roteador DHCP do AirPort Extreme. Bem, adivinhe. Uma VM Mavericks com um endereço MAC completamente diferente do endereço MAC de seus hosts pode solicitar um IP através da conexão de endereço MAC sancionada pelo host, e o AirPort Extreme entregará um IP viável e funcional a uma VM com o endereço MAC NOT na lista branca. e agora a VM conectada pode ver toda a LAN e a Internet, mesmo que seu próprio endereço MAC NÃO esteja na lista branca! Isto parece ser um buraco de segurança gritante. É isso? Por exemplo ...

Agora que tenho um IP, posso clonar a mim mesmo e tentar executar independentemente do host que criou e mantém as estruturas de dados da minha VM. No meu caso, o host tinha 10.0.1.16, e a VM recebeu 10.0.1.100 (minha reserva forçada de pelo menos 1 IP de reserva, conforme determinado pelo AirPort Extreme). Não tenho certeza de que, quando tiver um IP, se o endereço MAC for verificado novamente para comunicação com a LAN, mas por que isso aconteceria? O DHCP alocou um IP a um dispositivo, e esse dispositivo agora pode falar como se fosse o verdadeiro host que recebeu o IP.

Costumávamos usar IPs de outros hosts o tempo todo quando eu trabalhava na Boeing - os que sabíamos que estavam offline; nós apenas pedimos emprestados seus IPs para eliminar muitos documentos para testar vários sistemas de controle de vôo. : -)

Mas a conclusão é que, no mínimo, por meio de um host conectado, posso obter um IP e usar uma rede, mesmo que a filtragem de MAC esteja ativada e meu próprio host não esteja na lista de permissões.

Na minha opinião, isso é um problema. Não tenho certeza de onde a falha está neste momento. Poderia ser com o protocolo DHCP em si? Não sei, mas, com o tempo, vou investigar. Tenho certeza de que, com tempo suficiente, posso explorar isso e assumir minha própria rede. Como faço para impedir que isso aconteça? Eu tenho outros roteadores WiFi que eu poderia tentar, mas neste momento, alguém pode ter uma melhor compreensão do Wi-Fi, DHCP, roteamento, etc por favor me avise se este é um problema real para me preocupar mais.

    
por Billy McCloskey 15.04.2014 / 16:05

2 respostas

1

Você está confundindo duas camadas diferentes do modelo OSI. A filtragem MAC do seu AirPort é um mecanismo de controle de acesso para a camada 2 que não tem nada a ver com o DHCP. Como sua VM está se conectando ao seu AirPort através do seu Mac, ele usa o endereço MAC do seu Mac para a comunicação da camada 2.

O que você está pensando é um servidor DHCP sem nenhum pool dinâmico. Isso, no entanto, só resolverá a outra metade. Os clientes "estrangeiros" poderão se conectar, mas não receberão um endereço IP, mas poderão usar uma configuração IP estática.

Para realizar os dois juntos, você precisaria de um roteador de camada 4-7 que geralmente custa > US $ 10.000 novos.

* Deixe-me saber se você quer que eu explique mais

    
por 22.04.2014 / 09:01
0

Existe algo como "MAC NAT" e seu software VM pode estar usando isso.

Observe que, se alguém obtiver hardware ou uma placa de rede sem fio capaz de monitorar o canal em que sua rede sem fio está, os endereços MAC estarão visíveis, embora sua carga, o tráfego real, esteja criptografada.

Desculpas por não entrar em detalhes sobre o que é "MAC NAT". E pode não ser o que realmente está acontecendo, apenas a primeira coisa que me veio à mente.

A Mavericks VM with a completely different MAC address from its hosts MAC address can request an IP through its host’s sanctioned MAC address connection, and the AirPort Extreme will hand over a viable and working IP to a VM with MAC address NOT on the white list

Você verificou no roteador AirPort que ele vê o MAC da VM ou o MAC dos hosts? De maneira semelhante, os endereços IP podem ser NATted em intervalos privados para uso doméstico, os endereços MAC também podem ser NATted, embora o recurso normalmente não seja exposto nos roteadores Wifi do consumidor. Nesse caso, seria o software da VM no computador que executa a VM que está executando o MAC NAT, e não o roteador.

Este sistema está conectado ao AirPort através de uma conexão com fio? Nesse caso, o filtro MAC provavelmente se aplica apenas às conexões sem fio.

    
por 15.04.2014 / 17:02