¿Se puede hackear un enrutador DHCP con una lista blanca de direcciones MAC con una máquina virtual?

1

Bloqueé las direcciones MAC de toda mi red para que solo las NIC de la lista blanca puedan obtener una IP del servidor y enrutador DHCP de AirPort Extreme. Bien adivina que. Una VM Mavericks con una dirección MAC completamente diferente de su dirección MAC anfitriona puede solicitar una IP a través de la conexión de dirección MAC autorizada de su host, y AirPort Extreme entregará una IP viable y funcional a una VM con una dirección MAC NO en la lista blanca. y que la VM ahora conectada puede ver toda la LAN e Internet, ¡aunque su propia dirección MAC NO esté en la lista blanca! Esto parece ser un agujero de seguridad flagrante. ¿Lo es? Por ejemplo...

Ahora que tengo una IP, puedo clonarme y tratar de ejecutarme independientemente del host que creó y mantiene las estructuras de datos de mi VM. En mi caso, el host tenía 10.0.1.16 y la máquina virtual obtuvo 10.0.1.100 (mi grupo forzado de al menos 1 IP de reserva según lo dictado por AirPort Extreme). No estoy seguro de que una vez que tenga una IP, si se comprueba nuevamente la dirección MAC para la comunicación a la LAN, ¿por qué? El DHCP ha asignado una IP a un dispositivo, y ese dispositivo ahora puede hablar como si fuera el verdadero host al que se le dio la IP.

Solíamos usar las direcciones IP de otros hosts todo el tiempo cuando trabajaba en Boeing, las que sabíamos que estaban fuera de línea; simplemente tomamos prestadas sus direcciones IP para eliminar una gran cantidad de documentos para probar varios sistemas de control de vuelo. :-)

Pero la conclusión es que, como mínimo, a través de un host conectado, puedo obtener una IP y usar una red, a pesar de que el filtrado de MAC está activado, y mi propio host no está en la lista blanca.

En mi opinión, esto es un problema. No estoy seguro de dónde está la falla en este punto. ¿Podría ser con el protocolo DHCP? No lo sé, pero si el tiempo lo permite, lo investigaré. Estoy seguro de que, dado el tiempo suficiente, puedo explotar esto y asumir mi propia red. ¿Cómo puedo evitar que esto suceda? Tengo otros enrutadores WiFi con los que podría intentarlo, pero en este punto, ¿puede alguien con una mejor comprensión de WiFi, DHCP, enrutamiento, etc.? Avíseme si este es un problema real en el que deba preocuparme.

Billy McCloskey
fuente
2
Considero que el filtrado de direcciones MAC no es particularmente seguro de todos modos. La mayoría de los dispositivos de red pueden configurarse para usar una dirección MAC diferente a la predeterminada asignada por hardware, de modo que alguien pueda leer la etiqueta de la dirección MAC (por ejemplo, la etiqueta física en la tarjeta wlan de una computadora portátil) y configurar su propia computadora portátil para usar esa Dirección MAC
laurencemadill
1
El filtrado de direcciones MAC no es una defensa sólida para proteger su red. Las direcciones MAC son fáciles de falsificar y, por lo tanto, la defensa se omite fácilmente. Usted podría mirar en 802.1x autenticación Si realmente necesitas esto, pero eso es demasiado para la mayoría de las redes.
heavyd
Estoy de acuerdo. Mantenemos nuestras direcciones MAC tan seguras como nuestras contraseñas. De hecho, nos aseguramos de eliminar varios enrutadores WiFi que resultaron ser insatisfactorios antes de devolverlos a la tienda. Para alguien que quiera asignar IP conocidas a sus equipos por varias razones técnicas, y evitar el acceso no deseado, el filtrado de direcciones MAC y WPA2, sin acceso físico al equipo, debería ser suficiente para el uso en el hogar, ¿no?
Billy McCloskey
6
¿Entiende que esta lista blanca se transmite básicamente en texto sin formato a todos los dispositivos que intentan conectarse al punto de acceso? El filtrado de MAC no es una característica de seguridad.
Ramhound
1
@ BillMcCloskey - De nuevo; El filtrado de MAC no es una característica de seguridad. Es una herramienta de gestión de redes.
Ramhound

Respuestas:

1

Estás confundiendo dos capas diferentes del modelo OSI. El filtrado de MAC de su AirPort es un mecanismo de control de acceso para la capa 2 que no tiene nada que ver con DHCP. Dado que su VM se está conectando a su AirPort a través de su Mac, utiliza la dirección MAC de su Mac para la comunicación de capa 2.

En lo que está pensando es en un servidor DHCP sin agrupaciones dinámicas. Esto sin embargo solo solucionará la otra mitad. Los clientes "extranjeros" podrán conectarse pero no se les emitirá una dirección IP, pero pueden usar una configuración IP estática.

Para lograr ambas cosas juntas, necesitaría un enrutador de capa 4-7 que generalmente cuesta & gt; $ 10,000 nuevos.

* Avísame si quieres que te lo explique más.

Craneum
fuente
0

Existe el "MAC NAT" y el software de su VM puede estar usando esto.

Tenga en cuenta que si alguien obtiene hardware o una NIC inalámbrica capaz de monitorear el canal en el que se encuentra su red inalámbrica, las direcciones MAC son visibles a pesar de que su carga útil, el tráfico real, está cifrado.


Disculpas por no entrar en detalles sobre qué es "MAC NAT". Y puede que no sea lo que realmente está sucediendo, solo lo primero que me vino a la mente.

Una máquina virtual Mavericks con una dirección MAC completamente diferente de la dirección MAC de su host puede solicitar una IP a través de la conexión de dirección MAC autorizada de su host, y AirPort Extreme entregará una IP viable y funcional a una VM con una dirección MAC NO en la lista blanca

¿Ha verificado en el enrutador AirPort que ve el MAC de la VM o el MAC de los hosts? De manera similar, las direcciones IP pueden ser NATted en rangos privados para uso doméstico, las direcciones MAC también pueden tener NATted, aunque la capacidad generalmente no está expuesta en los enrutadores Wifi del consumidor. En este caso, sería el software de VM en la computadora que ejecuta la VM que realiza MAC NAT, y no su enrutador.

¿Este sistema está conectado al AirPort a través de una conexión por cable? Si es así, el filtro MAC probablemente solo se aplica a las conexiones inalámbricas.

LawrenceC
fuente
Mi red "Modo de enrutador" es "DHCP y NAT". Puedo ver hacia dónde se dirige con esto, pero mi comprensión de la nomenclatura y la arquitectura subyacente es rudimentaria. Sí, eso sería un buen experimento. Pruebe el modo DHCP puro y vea qué sucede. Gracias por señalarlo. No volveré a intentar esto hasta que mi esposa esté fuera de la red, ya ves, ¡es el 15 de abril!
Billy McCloskey
Hey @ultrasawblade - Cambié mi enrutador de "DHCP y NAT" a "Solo DHCP", y el enrutador "amablemente" cambió todas mis reservas de DHCP para corresponder con la IP dinámica provista por los proveedores de servicios de Internet. En otras palabras, el enrutador volvió a basar las IP de mi LAN desde 10.0.1.1 a la base de Internet IP + compensación, es decir, 23.N.0.1-255 con la máscara de subred apropiada. Guardando los mismos rendimientos de configuración, "Compartir un rango de dirección IP usando DHCP solo requiere configurar manualmente su dirección IP de WAN ..." ¡Mi enrutador ahora espera un rango de IP estáticas provisto por el servicio! Respuesta: "DHCP y NAT" es deseable.
Billy McCloskey
Para todos los que están haciendo ajustes con la configuración de su enrutador, si hay una forma de hacer una copia de seguridad y restaurar la configuración del enrutador en el archivo de disco, edite ese archivo con un editor de propiedades adecuado y restaure la configuración al enrutador desde el archivo. de esa manera. Confiar en el conjunto de herramientas del enrutador para las actualizaciones de la configuración es notoriamente lento, es propenso a errores y lleva a un montón de tiempo a hacer cosas. Es una gran idea guardar la configuración básica del enrutador y las configuraciones estables posteriores y cargar la misma en el enrutador. EN MI HUMILDE OPINIÓN.
Billy McCloskey