¿Dirección MAC duplicada en la misma LAN posible?

18

Digamos que alguien está en la misma red que yo y falsifica su dirección MAC para que coincida con la mía:

  1. es posible? ¿Pueden dos o más clientes con la misma dirección MAC estar en la misma red al mismo tiempo y permanecer conectados de manera constante?
  2. Cuando esto suceda, ¿terminaré siendo des autenticado y expulsado de la red si no se permiten direcciones MAC duplicadas en la misma red?
  3. Si se permiten direcciones MAC duplicadas, ¿qué tipo de comportamiento podría encontrar? Colisiones, condiciones de carrera, etc.
Aaron
fuente

Respuestas:

23

Es posible que dos hosts tengan el mismo MAC, debido a la suplantación de identidad, un error durante la fabricación o negligencia intencional por parte del fabricante. Entonces,

1) En general, un conmutador Ethernet mantiene una tabla de las direcciones MAC conectadas a los puertos. Basa esta tabla en la dirección de origen de las tramas que recibe durante el funcionamiento normal de la red. Al recibir cualquier trama, se lee el MAC de origen y se compara con la tabla de conmutación actual, y luego se agrega junto con el puerto de conmutación en el que se recibió.

Entonces, si hay dos hosts, ambos con la misma dirección MAC, el conmutador actualizará su tabla MAC cada vez que reciba una trama de cualquiera de los hosts. La accesibilidad de cualquiera de los hosts se activará y desactivará y será inconsistente.

2) Respuesta corta: no. Las direcciones MAC duplicadas no provocarán ningún tipo de problema de seguridad en un conmutador no administrado (un conmutador sin software de configuración) o un conmutador administrado (como la mayoría de Cisco / HP / Junipers) que no se ha configurado para la seguridad del puerto. Los conmutadores administrados le darán una advertencia impresa en el terminal de la consola si detectan un MAC duplicado (un MAC que 'existe' en múltiples puertos de conmutador), pero por defecto no "harán nada" al respecto AFAIK.

Si desea utilizar las opciones de seguridad de puerto en un conmutador administrado, puede hacer cosas como permitir solo 1 dirección MAC por puerto de conmutador. El conmutador aprenderá dinámicamente la dirección MAC (como suele aprender MAC), pero la diferencia es que una vez que se aprende, está vinculada a ese puerto de conmutador. Luego, si el conmutador recibe tramas de un MAC duplicado en otro puerto de conmutador , puede colocar ese puerto en un estado deshabilitado (apagarlo).

Usted mencionó la desautenticación en su pregunta. La función de seguridad de puerto de algunos conmutadores es diferente a la "desauthentication": es la desautorización. Son similares pero la diferencia es importante; buscar autenticación versus autorización.

3) Los MAC duplicados no causarán colisiones. Las colisiones son el resultado de un bus eléctrico compartido. Es más una condición de carrera, aunque no he oído hablar de eso antes. Recuerde, los MAC duplicados están "permitidos", en lo que respecta a cualquier conmutador Ethernet listo para usar, solo causan un problema que interrumpirá la conectividad de red a cada host en cuestión. El problema es una tabla de conmutación en constante cambio.

Eric Iovan
fuente
3
Por cierto, muchos proveedores de Unix / Linux / VMware le permiten cambiar / anular la dirección MAC de sus placas de ethernet. Por lo tanto, es posible que este no sea un evento poco común si copia configuraciones de un sistema a otro. Eso es lo que me pasó a mí.
mdpc
Parece una posible forma de atacar a un host (como la puerta de enlace predeterminada). Incluso si Dynamic ARP Inspection está activado, el conmutador seguirá viendo su dirección MAC en un mensaje de descubrimiento de DHCP. Usamos 802.1X, por lo que no podemos activar la seguridad del puerto al mismo tiempo. En esa situación, creo que la única forma de defenderse es usar entradas estáticas en DAI.
Brain2000
@mdpc: los sistemas operativos Windows también pueden tener su MAC anulada en el software.
Les
7

Respuestas a tu pregunta:

  1. SÍ es posible, y NO, no tendrá contacto constante.

  2. Es posible que ... el administrador pueda ver el problema y deshabilitar los puertos en el conmutador.

  3. Lo que encontré fue con dos sistemas con la misma dirección MAC conectados al mismo conmutador, y lo que noté fue que la red funcionaría con el ÚLTIMO sistema para enviar los paquetes de Ethernet seleccionados. Entonces fue cuando un sistema funcionó y el otro no ... bastante divertido y desconcertante para mí hasta que el tipo de redes señaló el problema.

mdpc
fuente
0

Puede simular dos máquinas con el mismo MAC instalando un sistema operativo en VMware y luego clonando la VM. Cuando lo clona, ​​se conserva la dirección MAC. No creo que pueda configurar un MAC para una VM igual que el de una máquina física, VMware lo restringe a un cierto rango que no debería colisionar.

titus
fuente