MAC ändert sich willkürlich

R

robort

0
Hallo,

ich habe ein Problem, seit bei uns im Netzwerk eine MAC-Adress basierte Portsecurity eingeführt wird taucht das Problem auf, ich denke mal es war schon immer so aber vorher hat es niemand gemerkt.

Es gibt eine Handvoll PCs von ca. 3000 die willkürlich und nicht periodisch ihre MAC ändern. Dabei unterscheiden sich 2 gruppen die eine hälfte ändert sie in eine komplett andere. Bei der anderen Gruppe verschieben sich die ersten 4 Stellen nach hinten.
Bsp.: aus 00-01-02-F6-D1-C2 wird 02-F6-D1-C2-00-01

Bei einem Rechner, der glücklicherweise direkt neben mir steht ändert sich die MAC wenn er drucken will....

Also wie kann das sein? Übertragungsfehler im Ethernet gibt es immer aber kann sich das so ausweiten das die fehlerhaften Pakete angenommen und ausgewertet werden? Oder an was kann das liegen? Ich hab langsam keine Idee mehr....

Danke für eure Hilfe.
 
da ICH keine ahnung habe wieso das so ist, habe ich einfach mal bei google folgendes eingegeben:
"mac adresse ändert sich immer, wie verhindern?"
aber ohne die "

vielleicht wissen die anderen wie es geht, ich aber nicht ;) aber vielleicht findest du was brauchbares drunter!

ansonsten würd ich halt auch mal hier öfters reinschauen
 
google hab ich auch gequält, aber nicht wirklich was gefunden. Mehr so Themen wie "MAC permanent verloren oder anders". Aber in meinem Fall sind es ja nur einzelne Datenpakete die eine andere MAC am Switchport erzeugen. Diese wird dann Protokolliert und als Fehler gemeldet. Die nächsten Pakete sind wieder normal....

Vielleicht ist ja generell so. Denke mal wenige überwachen ihre Switchports und kontrollieren automatisch ob die MAC bekannt ist oder nicht!!!

It's not a bug it's feature?
 
Möglicherweise hast du Laptops in dem Netz, daher scheinbar geänderte MACs.
Und bei 3000 Maschinen ist es durchaus denkbar das ein paar defekte Geräte dabei sind.
Das mit dem drucken ist jedenfalls sehr seltsam :)

Wenn du es raushast würds mich echt interesieren :)
 
Original von KlausSchiefer
Möglicherweise hast du Laptops in dem Netz, daher scheinbar geänderte MACs.
Zum Vergrößern anklicken....

Meinst du weil die sich anstecken wo sie wollen? Wenn Ja dann Nein :)

Das ganze funktioniert übert über das ActiveDirectory nach einer Schemaerweiterung kann man jedem PC konto (PC konten müssen dann auch für z.B. für Drucker angelegt werden) eine MAC zuweisen. Dann noch eine Regel ob der Netzwerkzugriff gewährt oder verweigert wird. Die Switche fragen dann über einen Radiusserver das AD ab, ob dort die jeweilige MAC hinterlegt ist und ob das PC konto ins Netz darf oder nicht. Also auch wenn ich mich heute an dem einen und morgen an einen anderen Switch anstecke darf kein Fehler kommen da die MACs zentral abgefragt und autorisiert werden.

Also ich werde noch weiter forschen wenn jemand noch ideen hat her damit :)
 
möglich wäre auch dass sich ein virus eingeschlichen hat, nur fraglich ist was es dem entwickler bringt die MACs zu ändern X(
 
Original von KlausSchiefer
sind die MACs denn an den Maschinen wirklich geändert oder liest du das irgendwo zentral in einem Log ab?
Zum Vergrößern anklicken....

An welcher stelle sich die MAC ändert weiß ich nicht. (PC oder Switchport). Es kann auch ein Übertragungsfehler im Kabel sein. Beim dem PC wo das beim drucken passiert habe ich alle Kabel bis zum Switch gewechselt. (2xPatchkabel, andere Zimmerdose) trotzdem taucht der Fehler noch auf.

Ja, ich lese die Fehler zentral in der Radius Ereignisanzeige aus (bzw. diese wird per script ausgewertet und mails werden verschickt.)

@ wolfy

daran habe ich auch gedacht aber die PCs werden zentral mit Antiviren software (+updates) versorgt. Auch aktuelle Patchs erhalten sie zentral. Das kann von den Nutzern auch nicht abgebrochen werden. Werde aber das Thema Virus noch mal prüfen.
 
Ich würde erst verifizieren ob sich die MAC tatsächlich am Gerät ändert (was eher unwahrscheinlich ist) oder nicht.

Wenn nicht, ist also eine andere fehlerhafte Komponente im Spiel (mit nem chaos ARP).
Radius kann man imho nicht so falsch konfigurieren das der da was falsch macht.
 
Manche AP's ersetzen die MAC durch ihre eigene bzw. sind so konfiguriert.
Eine Bridge kann man auch so konfigurieren.

Gruss
 
Original von KlausSchiefer
Ich würde erst verifizieren ob sich die MAC tatsächlich am Gerät ändert (was eher unwahrscheinlich ist) oder nicht.

Wenn nicht, ist also eine andere fehlerhafte Komponente im Spiel (mit nem chaos ARP).
Radius kann man imho nicht so falsch konfigurieren das der da was falsch macht.
Zum Vergrößern anklicken....

das werd ich erstmal tun. hast du eine Idee wie? Ich würde wireshark anschmeißen.... oder hat jemand eine bessere idee?
 
Haben deine PC vllt unterschiedliche Interfaces?

Wenn ein PC zum Beispiel drucken will, nutz er dazu ein anderes Interface (netzwerkdruck).
Und du liest die MACs in irgendeinem Log ab?

Sehr kurios...

MFG
Ace
 
Original von AceKiller73
Haben deine PC vllt unterschiedliche Interfaces?

Wenn ein PC zum Beispiel drucken will, nutz er dazu ein anderes Interface (netzwerkdruck).
Und du liest die MACs in irgendeinem Log ab?

Sehr kurios...

MFG
Ace
Zum Vergrößern anklicken....

ja haben sie aber das onboard ist deaktiviert.

Ja die MACs lese ich aus einem Log aus, beziehungsweise wird es ausgewertet und fehler kommen als Mail.



Nachtrag: das ist wirklich sehr komisch gestern und heute war der Effekt bei noch keinem Rechner....
 
Hallo,
habe das

Nachtrag: das ist wirklich sehr komisch gestern und heute war der Effekt bei noch keinem Rechner...
Zum Vergrößern anklicken....

eben gelesen und für mich sieht die ganze Geschichte irgend wie nach einem Hackingversuch aus.
Also freuen, dass das System so sicher ist und hoffen, dass das Ende nicht bedeutet, dass der Versuch erfolgreich war sondern aufgegeben wurde.

MfG
 
@ wasserratte

Ja das könnte sein. Aber wie schon gesagt:

Bei einem Rechner, der glücklicherweise direkt neben mir steht ändert sich die MAC wenn er drucken will....
Zum Vergrößern anklicken....

Ich hatte ihr also im Blick.....

Das konnte ich aber heute nicht prüfen weil ich dafür leider keine Zeit hatte.... Außerdem ist freitag :)
 
Also so wie ich das sehe wollte da wirklich jemand sich an deinem Netzwerk zu schaffen machen und hat das sogenannte MAC-Spoofing angewandt. Andererseits könnte es auch wirklich sein, dass ein Gerät so rein zufällig vom Betriebsystem die gleiche MAcadresse zugewiesen bekommen hat und somit die Probleme entstanden sind. Kann es sein, dass du ein uraltes Gerät mit ins Netz aufgenommen hast und es auf Grund der früheren kürzeren Länge der Macadresse evtl. zu Fehlern kommt?
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben