Можно ли взломать маршрутизатор DHCP с белым списком MAC-адресов с помощью виртуальной машины?

Question

Я заблокировал MAC-адреса всей своей сети, чтобы только сетевые адаптеры из белого списка могли получить IP-адрес от DHCP-сервера AirPort Extreme и маршрутизатора. Ну, угадай что. Виртуальная машина Mavericks с совершенно другим MAC-адресом от MAC-адреса своего хоста может запрашивать IP-адрес через санкционированное соединение MAC-адреса своего хоста, и AirPort Extreme передает жизнеспособный и работающий IP-адрес виртуальной машине с MAC-адресом, НЕ включенным в белый список и что теперь подключенная виртуальная машина может видеть всю локальную сеть и Интернет, хотя ее собственный MAC-адрес НЕ находится в белом списке! Похоже, это явная дыра в безопасности. Это? Например...

Теперь, когда у меня есть IP, я могу клонировать себя и пытаться работать независимо от хоста, который создал и хранит структуры данных моей виртуальной машины. В моем случае на хосте было 10.0.1.16, а на виртуальной машине - 10.0.1.100 (мой принудительный пул, по крайней мере, с 1 запасным IP-адресом в соответствии с AirPort Extreme). Я не уверен, что если у меня есть IP-адрес, если MAC-адрес снова проверяется для связи с локальной сетью, но с чего бы это? DHCP назначил IP-адрес устройству, и теперь это устройство может общаться, как если бы это был истинный хост, которому был присвоен IP.

Когда я работал на Boeing, мы использовали IP-адреса других хостов - те, которые, как мы знали, были в автономном режиме; мы просто позаимствовали их IP-адреса, чтобы избавиться от большого количества документов для тестирования различных систем управления полетом. :-)

Но суть в том, что как минимум через подключенный хост я могу получить IP-адрес и использовать сеть, даже если включена фильтрация MAC-адресов, а моего собственного хоста нет в белом списке.

На мой взгляд, это проблема. Я не уверен, где вина лежит на этом этапе. Может ли это быть с самим протоколом DHCP? Я не знаю, но, если позволит время, я буду исследовать это. Я уверен, что, если у меня будет достаточно времени, я смогу воспользоваться этим и захватить свою собственную сеть. Как я могу предотвратить это? У меня есть другие маршрутизаторы WiFi, с которыми я мог бы попробовать, но на данный момент, может ли кто-нибудь с лучшим пониманием WiFi, DHCP, маршрутизации и т.д., Пожалуйста, посоветуйте мне, является ли это реальной проблемой, чтобы беспокоиться о себе.

Answer 1

Вы путаете два разных уровня модели OSI. MAC-фильтрация AirPort - это механизм контроля доступа для уровня 2, который не имеет ничего общего с DHCP. Поскольку ваша виртуальная машина подключается к AirPort через ваш Mac, она использует MAC-адрес вашего Mac для связи второго уровня.

То, о чем вы думаете, это сервер DHCP без каких-либо динамических пулов. Это, однако, решит только другую половину. "Иностранные" клиенты смогут подключаться, но им не будет выдан IP-адрес, но они могут использовать статическую IP-конфигурацию.

Для того, чтобы выполнить и то, и другое вместе, вам понадобится маршрутизатор уровня 4-7, который обычно стоит> 10000 долларов США.

* Дайте мне знать, если вы хотите, чтобы я объяснил это дальше

Answer 2

Существует такая вещь, как "MAC NAT", и программное обеспечение вашей виртуальной машины может использовать это.

Обратите внимание, что если кто-то получает аппаратное обеспечение или беспроводную сетевую карту, способную контролировать канал, в котором находится ваша беспроводная сеть, MAC-адреса видны, даже если их полезная нагрузка, фактический трафик, зашифрована.

---

Извините за то, что не вдавался в подробности о том, что такое MAC NAT. И это может быть не то, что на самом деле происходит, просто первое, что пришло мне в голову.

Виртуальная машина Mavericks с совершенно другим MAC-адресом от своего MAC-адреса хоста может запросить IP-адрес через санкционированное соединение MAC-адреса своего хоста, и AirPort Extreme передаст жизнеспособный и работающий IP-адрес виртуальной машине с MAC-адресом, НЕ включенным в белый список.

Вы проверили на маршрутизаторе AirPort, что он видит MAC-адрес виртуальной машины или MAC-адрес хоста? Аналогично тому, как IP-адреса могут быть преобразованы в частные диапазоны для домашнего использования, MAC-адреса также могут быть преобразованы в NAT, хотя такая возможность обычно не предоставляется на потребительских маршрутизаторах Wi-Fi. В этом случае это будет программное обеспечение виртуальной машины на компьютере, на котором работает виртуальная машина, выполняющая NAT NAT, а не ваш маршрутизатор.

Эта система подключена к AirPort через проводное соединение? Если это так, фильтр MAC, вероятно, применяется только к беспроводным соединениям.