ARP spoofing vs. wirtualki na Hyper-V

Na początku przybliżę temat ARP spoofingu. Według Wikipedii „ARP spoofing to atak sieciowy w sieci Ethernet pozwalający atakującemu przechwytywać dane przesyłane w obrębie segmentu sieci lokalnej. Przeprowadzony tą metodą atak polega na rozsyłaniu w sieci LAN odpowiednio spreparowanych pakietów ARP zawierających fałszywe adresy MAC. W efekcie pakiety danych wysyłane przez inne komputery w sieci zamiast do adresata trafiają do osoby atakującej pozwalając jej na podsłuchiwanie komunikacji”.

Teraz należy postawić sobie pytanie, co na ARP spoofing powiedzą maszyny wirtualne pod kontrolą Hyper-V R2 SP1?

Jest ficzer zwany ARP Spoofing Prevention, ale Microsoft nie wyeksponował go pod postacią GUI, lub też konsoli zarządzania w  Hyper-V, czy też SCVMM 2008 R2 SP1. Buszując w sieci trafiłem na wpis na blogu PFE Virtualization Blog, gdzie autor Thomas Roettinger (PFE) opisał jak rozwiązać ten problem wykorzystując ficzer ARP Spoofing Prevention w skrypcie PowerShell.  Z Hyper-V R2 SP1 można sprawdzić mapowanie MAC’ów do IP na virtual switchu lub wykorzystać WMI API do powiązania adresu MAC z adresem IP na virtual switchu.

Po przykładowy skrypt PowerShell odsyłam na blog autora: ARP Spoofing Prevention in Hyper-V 2008 R2 SP1

 

Reklamy