È possibile duplicare l'indirizzo MAC sulla stessa LAN?


18

Diciamo che qualcuno è sulla mia stessa rete e falsifica il loro indirizzo MAC per abbinarlo al mio:

  1. È possibile? Due o più client con lo stesso indirizzo MAC possono essere contemporaneamente sulla stessa rete e rimanere costantemente connessi?
  2. Quando ciò accade, finirò per ottenere la nuova autenticazione e dare il via alla rete se non sono consentiti indirizzi MAC duplicati sulla stessa rete?
  3. Se sono consentiti indirizzi MAC duplicati, che tipo di comportamento potrei riscontrare? Collisioni, condizioni di gara, ecc.?

Risposte:


23

È possibile che due host abbiano lo stesso MAC, a causa di spoofing, errore durante la produzione o negligenza intenzionale da parte del produttore. Così,

1) In generale, uno switch Ethernet mantiene una tabella di quali indirizzi MAC sono collegati a quali porte. Basa questa tabella sull'indirizzo di origine dei frame che riceve durante il normale funzionamento della rete. Alla ricezione di qualsiasi frame, il MAC di origine viene letto e confrontato con la tabella di commutazione corrente, quindi aggiunto accanto a qualsiasi switchport su cui è stato ricevuto.

Quindi, se ci sono due host, entrambi con lo stesso indirizzo MAC, lo switch aggiornerà la sua tabella MAC ogni volta che riceve un frame da entrambi gli host. La raggiungibilità di entrambi gli host verrà attivata e disattivata e sarà incoerente.

2) Risposta breve: no. Gli indirizzi MAC duplicati non attiveranno alcun tipo di problema di sicurezza in uno switch non gestito (uno switch senza software di configurazione) o uno switch gestito (come la maggior parte di Cisco / HP / Junipers) che non è stato configurato per la sicurezza delle porte. Gli switch gestiti ti daranno un avviso stampato nel terminale della console se rilevano un MAC duplicato (un MAC che 'esiste' su più switchport), ma per impostazione predefinita non "faranno nulla" su di esso AFAIK.

Se si desidera utilizzare le opzioni di sicurezza della porta su uno switch gestito, è possibile eseguire operazioni come consentire solo 1 indirizzo MAC per switchport. L'indirizzo MAC verrà appreso dinamicamente dallo switch (come di solito impara i MAC), ma la differenza è che una volta appreso, è legato a quello switchport. Quindi, se lo switch riceve frame da un MAC duplicato su un altro switchport, può mettere quella porta in uno stato disabilitato (spegnerlo).

Nella tua domanda hai menzionato l'autenticazione. La funzionalità di sicurezza della porta di alcuni switch è diversa dalla "deautenticazione": è la rimozione dell'autorizzazione. Sono simili ma la differenza è importante; cercare autenticazione vs. autorizzazione.

3) MAC duplicati non causeranno collisioni. Le collisioni sono il risultato di un bus elettrico condiviso. È più una condizione di gara, anche se non l'ho mai sentito prima. Ricorda, i MAC duplicati sono "consentiti", per quanto riguarda qualsiasi switch Ethernet pronto all'uso - causano solo un problema che interromperà la connettività di rete a ciascun host in questione. Il problema è una tabella di commutazione in continua evoluzione.


3
A proposito, molti molti fornitori Unix / Linux / VMware ti consentono di cambiare / sovrascrivere l'indirizzo MAC delle tue schede Ethernet. Quindi questo potrebbe non essere un evento insolito se ti capita di copiare le configurazioni da un sistema a un altro. Questo è quello che mi è successo.
mdpc,

Sembra un possibile modo per attaccare un host (come il gateway predefinito). Anche se Dynamic ARP Inspection è attivato, lo switch visualizzerà comunque l'indirizzo MAC in un messaggio di rilevamento DHCP. Utilizziamo 802.1X, quindi non possiamo attivare contemporaneamente la sicurezza delle porte. In quella situazione, penso che l'unico modo per difendermi sia usare le voci statiche in DAI.
Brain2000,

@mdpc - I sistemi operativi Windows possono anche sovrascrivere il loro MAC nel software.
Les

7

Risposte alla tua domanda:

  1. SÌ è possibile e NO non avrai un contatto coerente.

  2. Potresti ... l'amministratore potrebbe vedere il problema e disabilitare le porte sullo switch.

  3. Ciò che ho riscontrato è stato con due sistemi con lo stesso indirizzo MAC collegato allo stesso switch e ciò che ho notato è che la rete avrebbe funzionato con il sistema LAST per inviare i pacchetti Ethernet selezionati. Quindi è stato quando un sistema ha funzionato l'altro no ... abbastanza divertente e sconcertante per me fino a quando il ragazzo della rete non ha sottolineato il problema.


0

È possibile simulare due macchine con lo stesso MAC installando un sistema operativo in VMware, quindi clonando la VM. Quando lo cloni, l'indirizzo MAC viene preservato. Non penso che tu possa impostare un MAC per una VM uguale a quello di una macchina fisica, VMware lo limita a un certo intervallo che non dovrebbe scontrarsi.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.