Ragioni dietro MAC Spoofing su una rete aziendale?

7

Il mio team sta ispezionando alcuni eventi di spoofing MAC che si stanno attivando nel nostro ambiente aziendale. Dopo aver parlato con il team, questa è l'informazione che abbiamo che è rilevante ....

  • Gli eventi vengono attivati dai nostri firewall software lato client.
  • Ci sono occorrenze in tutta la rete, visto che lo spoofing MAC è limitato al livello 2, questo ci distoglie dall'idea di attività intenzionale malevole visto che non abbiamo una rete piatta.
  • Sappiamo di problemi che il nostro firewall ha avuto nelle versioni precedenti quando si tratta di acquisire lo spoofing MAC, ma non c'è nulla che indichi il problema con la nostra attuale implementazione.
  • Stiamo attualmente cercando di capire i tipi di SO per la sorgente e l'amp; sistemi di destinazione.
  • Non vi sono eccezioni / motivi di sicurezza documentati per cui una delle nostre macchine avrebbe spoofingato i loro indirizzi MAC
  • Questi eventi hanno avuto inizio di recente e hanno continuato a verificarsi (negli ultimi 3-4 giorni).
  • Questo è un dato dei miei altri punti, ma non siamo riusciti a ricreare l'evento sui computer che stiamo testando.

Qualsiasi aiuto per capire la fonte di questo problema sarebbe apprezzato. Aggiornerò se troveremo ulteriori informazioni utili o se risolviamo il problema (sono appena stato sottoposto a questo problema, quindi non ho una completa comprensione di ciò che sappiamo ancora).

P.S. Non posso, in buona sostanza, fornire ulteriori informazioni su quali prodotti utilizziamo per i nostri sistemi di sicurezza.

    
posta Ormis 22.04.2011 - 20:57
fonte

1 risposta

10

Casi comuni per gli allarmi di spoofing MAC sono:

  • macchine virtuali che vengono clonate o riconfigurate
  • persone che staccano la spina per connettere i notebook
  • Indirizzi IP di riciclaggio DHCP
  • caricamento di firmware diversi su schede di rete (in particolare schede wireless)
  • (raramente) bit flipping nella PROM della scheda di rete.

Sarebbe interessante sapere, se quegli allarmi sono per mancare corrispondere agli indirizzi MAC e cambiare porte o perdere gli indirizzi MAC corrispondenti e gli indirizzi IP. Viene effettuato un solo computer o molti? La differenza tra il vecchio e il nuovo indirizzo MAC è di uno o due bit? Sono coinvolti gli indirizzi multicast MAC?

    
risposta data 22.04.2011 - 22:30
fonte

Leggi altre domande sui tag