Bloqueé las direcciones MAC de toda mi red para que solo las NIC de la lista blanca puedan obtener una IP del servidor y enrutador DHCP de AirPort Extreme. Bien adivina que. Una VM Mavericks con una dirección MAC completamente diferente de su dirección MAC anfitriona puede solicitar una IP a través de la conexión de dirección MAC autorizada de su host, y AirPort Extreme entregará una IP viable y funcional a una VM con una dirección MAC NO en la lista blanca. y que la VM ahora conectada puede ver toda la LAN e Internet, ¡aunque su propia dirección MAC NO esté en la lista blanca! Esto parece ser un agujero de seguridad flagrante. ¿Lo es? Por ejemplo...
Ahora que tengo una IP, puedo clonarme y tratar de ejecutarme independientemente del host que creó y mantiene las estructuras de datos de mi VM. En mi caso, el host tenía 10.0.1.16 y la máquina virtual obtuvo 10.0.1.100 (mi grupo forzado de al menos 1 IP de reserva según lo dictado por AirPort Extreme). No estoy seguro de que una vez que tenga una IP, si se comprueba nuevamente la dirección MAC para la comunicación a la LAN, ¿por qué? El DHCP ha asignado una IP a un dispositivo, y ese dispositivo ahora puede hablar como si fuera el verdadero host al que se le dio la IP.
Solíamos usar las direcciones IP de otros hosts todo el tiempo cuando trabajaba en Boeing, las que sabíamos que estaban fuera de línea; simplemente tomamos prestadas sus direcciones IP para eliminar una gran cantidad de documentos para probar varios sistemas de control de vuelo. :-)
Pero la conclusión es que, como mínimo, a través de un host conectado, puedo obtener una IP y usar una red, a pesar de que el filtrado de MAC está activado, y mi propio host no está en la lista blanca.
En mi opinión, esto es un problema. No estoy seguro de dónde está la falla en este punto. ¿Podría ser con el protocolo DHCP? No lo sé, pero si el tiempo lo permite, lo investigaré. Estoy seguro de que, dado el tiempo suficiente, puedo explotar esto y asumir mi propia red. ¿Cómo puedo evitar que esto suceda? Tengo otros enrutadores WiFi con los que podría intentarlo, pero en este punto, ¿puede alguien con una mejor comprensión de WiFi, DHCP, enrutamiento, etc.? Avíseme si este es un problema real en el que deba preocuparme.
fuente
Respuestas:
Estás confundiendo dos capas diferentes del modelo OSI. El filtrado de MAC de su AirPort es un mecanismo de control de acceso para la capa 2 que no tiene nada que ver con DHCP. Dado que su VM se está conectando a su AirPort a través de su Mac, utiliza la dirección MAC de su Mac para la comunicación de capa 2.
En lo que está pensando es en un servidor DHCP sin agrupaciones dinámicas. Esto sin embargo solo solucionará la otra mitad. Los clientes "extranjeros" podrán conectarse pero no se les emitirá una dirección IP, pero pueden usar una configuración IP estática.
Para lograr ambas cosas juntas, necesitaría un enrutador de capa 4-7 que generalmente cuesta & gt; $ 10,000 nuevos.
* Avísame si quieres que te lo explique más.
fuente
Existe el "MAC NAT" y el software de su VM puede estar usando esto.
Tenga en cuenta que si alguien obtiene hardware o una NIC inalámbrica capaz de monitorear el canal en el que se encuentra su red inalámbrica, las direcciones MAC son visibles a pesar de que su carga útil, el tráfico real, está cifrado.
Disculpas por no entrar en detalles sobre qué es "MAC NAT". Y puede que no sea lo que realmente está sucediendo, solo lo primero que me vino a la mente.
¿Ha verificado en el enrutador AirPort que ve el MAC de la VM o el MAC de los hosts? De manera similar, las direcciones IP pueden ser NATted en rangos privados para uso doméstico, las direcciones MAC también pueden tener NATted, aunque la capacidad generalmente no está expuesta en los enrutadores Wifi del consumidor. En este caso, sería el software de VM en la computadora que ejecuta la VM que realiza MAC NAT, y no su enrutador.
¿Este sistema está conectado al AirPort a través de una conexión por cable? Si es así, el filtro MAC probablemente solo se aplica a las conexiones inalámbricas.
fuente