[HaBo]

robort

Anzeige

Hallo,

ich habe ein Problem, seit bei uns im Netzwerk eine MAC-Adress basierte Portsecurity eingeführt wird taucht das Problem auf, ich denke mal es war schon immer so aber vorher hat es niemand gemerkt.

Es gibt eine Handvoll PCs von ca. 3000 die willkürlich und nicht periodisch ihre MAC ändern. Dabei unterscheiden sich 2 gruppen die eine hälfte ändert sie in eine komplett andere. Bei der anderen Gruppe verschieben sich die ersten 4 Stellen nach hinten.
Bsp.: aus 00-01-02-F6-D1-C2 wird 02-F6-D1-C2-00-01

Bei einem Rechner, der glücklicherweise direkt neben mir steht ändert sich die MAC wenn er drucken will....

Also wie kann das sein? Übertragungsfehler im Ethernet gibt es immer aber kann sich das so ausweiten das die fehlerhaften Pakete angenommen und ausgewertet werden? Oder an was kann das liegen? Ich hab langsam keine Idee mehr....

Danke für eure Hilfe.

_fux_

da ICH keine ahnung habe wieso das so ist, habe ich einfach mal bei google folgendes eingegeben:
"mac adresse ändert sich immer, wie verhindern?"
aber ohne die "

vielleicht wissen die anderen wie es geht, ich aber nicht aber vielleicht findest du was brauchbares drunter!

ansonsten würd ich halt auch mal hier öfters reinschauen

__________________
und?

robort

google hab ich auch gequält, aber nicht wirklich was gefunden. Mehr so Themen wie "MAC permanent verloren oder anders". Aber in meinem Fall sind es ja nur einzelne Datenpakete die eine andere MAC am Switchport erzeugen. Diese wird dann Protokolliert und als Fehler gemeldet. Die nächsten Pakete sind wieder normal....

Vielleicht ist ja generell so. Denke mal wenige überwachen ihre Switchports und kontrollieren automatisch ob die MAC bekannt ist oder nicht!!!

It's not a bug it's feature?

KlausSchiefer

Möglicherweise hast du Laptops in dem Netz, daher scheinbar geänderte MACs.
Und bei 3000 Maschinen ist es durchaus denkbar das ein paar defekte Geräte dabei sind.
Das mit dem drucken ist jedenfalls sehr seltsam

Wenn du es raushast würds mich echt interesieren

robort

Meinst du weil die sich anstecken wo sie wollen? Wenn Ja dann Nein

Das ganze funktioniert übert über das ActiveDirectory nach einer Schemaerweiterung kann man jedem PC konto (PC konten müssen dann auch für z.B. für Drucker angelegt werden) eine MAC zuweisen. Dann noch eine Regel ob der Netzwerkzugriff gewährt oder verweigert wird. Die Switche fragen dann über einen Radiusserver das AD ab, ob dort die jeweilige MAC hinterlegt ist und ob das PC konto ins Netz darf oder nicht. Also auch wenn ich mich heute an dem einen und morgen an einen anderen Switch anstecke darf kein Fehler kommen da die MACs zentral abgefragt und autorisiert werden.

Also ich werde noch weiter forschen wenn jemand noch ideen hat her damit

KlausSchiefer

sind die MACs denn an den Maschinen wirklich geändert oder liest du das irgendwo zentral in einem Log ab?

bad_alloc

möglich wäre auch dass sich ein virus eingeschlichen hat, nur fraglich ist was es dem entwickler bringt die MACs zu ändern

__________________
You shoot yourself in somebody else's foot.|Dann gabs da noch den Mathematiker der P?=NP in O(1) erklärte.
|[A]| = p(·,|[A]|)+1

robort

An welcher stelle sich die MAC ändert weiß ich nicht. (PC oder Switchport). Es kann auch ein Übertragungsfehler im Kabel sein. Beim dem PC wo das beim drucken passiert habe ich alle Kabel bis zum Switch gewechselt. (2xPatchkabel, andere Zimmerdose) trotzdem taucht der Fehler noch auf.

Ja, ich lese die Fehler zentral in der Radius Ereignisanzeige aus (bzw. diese wird per script ausgewertet und mails werden verschickt.)

@ wolfy

daran habe ich auch gedacht aber die PCs werden zentral mit Antiviren software (+updates) versorgt. Auch aktuelle Patchs erhalten sie zentral. Das kann von den Nutzern auch nicht abgebrochen werden. Werde aber das Thema Virus noch mal prüfen.

KlausSchiefer

Ich würde erst verifizieren ob sich die MAC tatsächlich am Gerät ändert (was eher unwahrscheinlich ist) oder nicht.

Wenn nicht, ist also eine andere fehlerhafte Komponente im Spiel (mit nem chaos ARP).
Radius kann man imho nicht so falsch konfigurieren das der da was falsch macht.

end4win

Manche AP's ersetzen die MAC durch ihre eigene bzw. sind so konfiguriert.
Eine Bridge kann man auch so konfigurieren.

Gruss

__________________

robort

das werd ich erstmal tun. hast du eine Idee wie? Ich würde wireshark anschmeißen.... oder hat jemand eine bessere idee?

AceKiller73

Haben deine PC vllt unterschiedliche Interfaces?

Wenn ein PC zum Beispiel drucken will, nutz er dazu ein anderes Interface (netzwerkdruck).
Und du liest die MACs in irgendeinem Log ab?

Sehr kurios...

MFG
Ace

robort

ja haben sie aber das onboard ist deaktiviert.

Ja die MACs lese ich aus einem Log aus, beziehungsweise wird es ausgewertet und fehler kommen als Mail.



Nachtrag: das ist wirklich sehr komisch gestern und heute war der Effekt bei noch keinem Rechner....

Wasserratte

Hallo,
habe das

eben gelesen und für mich sieht die ganze Geschichte irgend wie nach einem Hackingversuch aus.
Also freuen, dass das System so sicher ist und hoffen, dass das Ende nicht bedeutet, dass der Versuch erfolgreich war sondern aufgegeben wurde.

MfG

robort

@ wasserratte

Ja das könnte sein. Aber wie schon gesagt:

Ich hatte ihr also im Blick.....

Das konnte ich aber heute nicht prüfen weil ich dafür leider keine Zeit hatte.... Außerdem ist freitag