Mi equipo está inspeccionando algunos eventos de suplantación de MAC que se están activando en nuestro entorno corporativo. Después de hablarlo con el equipo, esta es la información que tenemos que es relevante ...
- Los eventos están siendo activados por nuestros cortafuegos de software del lado del cliente.
- Hay ocurrencias en la red, ya que la simulación de MAC está limitada a la capa 2, esto nos aleja de la idea de actividad maliciosa intencional ya que no tenemos una red plana.
- Sabemos de los problemas que nuestro firewall ha tenido en versiones anteriores cuando se trata de detectar la falsificación de MAC, pero no hay nada que indique ese problema con nuestra implementación actual.
- Actualmente estamos intentando averiguar los tipos de SO para la fuente y amp; sistemas de destino.
- No hay ninguna excepción / razón de seguridad documentada por la que cualquiera de nuestras máquinas esté falsificando sus direcciones MAC
- Estos eventos comenzaron a ocurrir recientemente y han continuado ocurriendo (en los últimos 3-4 días).
- Esto se debe a mis otros puntos, pero no hemos podido recrear con éxito el evento en las máquinas que estamos probando.
Cualquier ayuda para averiguar la fuente de este problema sería apreciada. Lo actualizaré si encontramos información adicional útil o si resolvemos el problema (me acaban de abordar este tema, por lo que aún no entiendo por completo lo que sabemos).
P.S. No puedo, mentalmente, dar más información sobre qué productos utilizamos para nuestros sistemas de seguridad.