¿Razones detrás de la falsificación de MAC en una red corporativa?

7

Mi equipo está inspeccionando algunos eventos de suplantación de MAC que se están activando en nuestro entorno corporativo. Después de hablarlo con el equipo, esta es la información que tenemos que es relevante ...

  • Los eventos están siendo activados por nuestros cortafuegos de software del lado del cliente.
  • Hay ocurrencias en la red, ya que la simulación de MAC está limitada a la capa 2, esto nos aleja de la idea de actividad maliciosa intencional ya que no tenemos una red plana.
  • Sabemos de los problemas que nuestro firewall ha tenido en versiones anteriores cuando se trata de detectar la falsificación de MAC, pero no hay nada que indique ese problema con nuestra implementación actual.
  • Actualmente estamos intentando averiguar los tipos de SO para la fuente y amp; sistemas de destino.
  • No hay ninguna excepción / razón de seguridad documentada por la que cualquiera de nuestras máquinas esté falsificando sus direcciones MAC
  • Estos eventos comenzaron a ocurrir recientemente y han continuado ocurriendo (en los últimos 3-4 días).
  • Esto se debe a mis otros puntos, pero no hemos podido recrear con éxito el evento en las máquinas que estamos probando.

Cualquier ayuda para averiguar la fuente de este problema sería apreciada. Lo actualizaré si encontramos información adicional útil o si resolvemos el problema (me acaban de abordar este tema, por lo que aún no entiendo por completo lo que sabemos).

P.S. No puedo, mentalmente, dar más información sobre qué productos utilizamos para nuestros sistemas de seguridad.

    
pregunta Ormis 22.04.2011 - 20:57
fuente

1 respuesta

9

Los casos comunes para las alarmas de suplantación de MAC son:

  • máquinas virtuales que se están clonando o reconfigurando
  • personas que tiran del enchufe para conectar computadoras portátiles
  • direcciones IP de reciclaje DHCP
  • cargar diferentes firmware en tarjetas de red (especialmente tarjetas inalámbricas)
  • (raramente) cambio de bits en la PROM de la tarjeta de red.

Sería interesante saber, si esas alarmas son para no coincidir con las direcciones MAC y los puertos del conmutador, o para no coincidir con las direcciones MAC y IP. ¿Solo hay una computadora efectuada o muchas? ¿La diferencia entre la dirección MAC antigua y la nueva es solo uno o dos bits? ¿Están involucradas las direcciones de multidifusión MAC?

    
respondido por el Hendrik Brummermann 22.04.2011 - 22:30
fuente

Lea otras preguntas en las etiquetas