我锁定了整个网络的 MAC 地址,这样只有白名单上的 NIC 才能从 AirPort Extreme DHCP 服务器和路由器获取 IP。好吧,猜猜会发生什么。具有与其主机 MAC 地址完全不同的 MAC 地址的 Mavericks VM 可以通过其主机批准的 MAC 地址连接请求 IP,而 AirPort Extreme 会将一个可行且有效的 IP 移交给 MAC 地址不在白名单上的 VM,并且现在连接的 VM 可以看到整个 LAN 和 Internet,即使它自己的 MAC 地址不在白名单上!这似乎是一个明显的安全漏洞。是吗?例如...
现在我有了 IP,我可以克隆自己,并尝试独立于创建并保存我的 VM 数据结构的主机运行。在我的例子中,主机有 10.0.1.16,而 VM 有 10.0.1.100(我的强制池至少有 1 个备用 IP,由 AirPort Extreme 指定)。我不确定一旦我有了 IP,是否会再次检查 MAC 地址以与 LAN 通信,但为什么要这样做?DHCP 已将 IP 分配给设备,并且该设备现在可以像被赋予 IP 的真正主机一样进行通信。
当我在波音公司工作时,我们经常使用其他主机的 IP - 我们知道那些主机处于离线状态;我们只是借用他们的 IP 来省去大量文书工作来测试各种飞行控制系统。:-)
但底线是,至少通过一个连接的主机,我能够获取 IP 并使用网络,尽管 MAC 过滤已打开,而我自己的主机不在白名单中。
在我看来,这是一个问题。我不确定现在故障在哪里。可能是 DHCP 协议本身的问题吗?我不知道,但如果时间允许,我会调查一下。我确信,如果有足够的时间,我就可以利用这一点,接管我自己的网络。我该如何阻止这种情况发生?我还有其他 WiFi 路由器可以尝试一下,但目前,有谁对 WiFi、DHCP、路由等有更好的了解,请告诉我这是否是一个真正需要我担心的问题。
答案1
您混淆了 OSI 模型的两个不同层。您的 AirPort 的 MAC 过滤是第 2 层的访问控制机制,与 DHCP 无关。由于您的 VM 通过 Mac 连接到 AirPort,因此它使用 Mac 的 MAC 地址进行第 2 层通信。
您所考虑的是一个没有任何动态池的 DHCP 服务器。然而,这只能解决另一半问题。“外部”客户端将能够连接但不会被分配 IP 地址,但它们可以使用静态 IP 配置。
为了同时实现这两项功能,您需要一个 4-7 层路由器,新路由器的价格通常超过 10,000 美元。
*如果你想让我进一步解释,请告诉我
答案2
存在“MAC NAT”这样的东西,您的 VM 软件可能正在使用它。
请注意,如果有人获得能够监控无线网络所在信道的硬件或无线网卡,则 MAC 地址是可见的,即使其有效负载(实际流量)已加密。
抱歉,我没有真正详细解释“MAC NAT”是什么。这可能不是真正发生的事情,只是我首先想到的。
具有与其主机 MAC 地址完全不同的 MAC 地址的 Mavericks VM 可以通过其主机认可的 MAC 地址连接请求 IP,并且 AirPort Extreme 会将可行且有效的 IP 移交给 MAC 地址不在白名单中的 VM
您是否已在 AirPort 路由器上验证它是否可以看到虚拟机的 MAC 或主机的 MAC?与 IP 地址可以 NAT 到家庭使用的私有范围类似,MAC 地址也可以 NAT,尽管此功能通常不会在消费者 Wifi 路由器上公开。在这种情况下,运行虚拟机的计算机上的虚拟机软件会执行 MAC NAT,而不是您的路由器。
此系统是否通过有线连接连接到 AirPort?如果是,MAC 过滤器可能仅适用于无线连接。