Заметит ли коммутатор 2 уровня подмену mac адреса?

Question

[Михаил]

Есть корпоративная сеть. Есть стойка с соединенными коммутаторами. Кабеля разведены по кабинетам и подключены. Допустим, что кто-то разъединил клиентский кабель, обжал и подключил маршрутизатор с целью записи физического адреса клиента. Потом подсоединил клиента к коммутатору через свой маршрутизатор, при этом задав маршрутизатору физический адрес wan интерфейса такой же, какой был у клиента, на коммутаторе включена идентификация по mac адресам интерфейсов. Так вот в чем вопрос. Проверяют ли дешевые и бюджетные коммутаторы байт истинности mac адреса? Заметит ли коммутатор, что mac адрес подменён?

Comments

[Армянское Радио]

Байт истинности MAC? Где об этом можно почитать?

[Михаил]

Армянское Радио: fastpic.ru/view/79/2016/0709/d33123f119026beee799c... fastpic.ru/view/79/2016/0709/85b476d0872dd8bff45c0... www.ozon.ru/context/detail/id/23880423
Речь об У/М которое внизу первой страницы. Это и есть то, о чем я имею ввиду. 46 разряд mac адреса.

Answer 1

[vreitech]

не совсем понятно из ваших слов, какой именно mac-адрес на порту маршрутизатора в сторону коммутатора. если иной, чем у клиента, в коммутаторе для порта сработает функция port security, если она имеется и включена. если mac такой же, как и у клиента, то никакой подмены коммутатор не заметит, так как других критериев для определения подмены по условиям вашей задачи не задано.
про существования "байта истинности" мне ничего не известно.

Comments

[Михаил]

Mac адрес содержит байт истинности. 46 разряд - признак универсального или местного управления.

[Армянское Радио]

Алексей: При подмене MAC целиком подменяются все шесть байт, вместе с этим битом, разве нет?

[vreitech]

Алексей: во-первых, наверное всё же бит. а, во-вторых, вы конечно можете дать ему любое название, какое захотите, но знать об этом будете только вы. для этого бита уже есть устоявшееся название (собственно, вы его уже написали - признак универсального или местного управления). в-третьих, этот бит никак не может служить как признак подмены mac-адреса, равно как и остальные 47.

[Михаил]

Филипп: как тогда бороться с такой подменой?

[Иван]

Алексей: ни как

[vreitech]

Алексей: использовать механизмы аутентификации и авторизации трафика ethernet, которые не "ломаются" подменой mac-адреса. например, radius и IEEE 802.1X.

Answer 2

[Mystray]

Забудьте о битах в мак-адресе, единственное, что там быть не должно - младший бит старшего разряда (признак мультикаста). Все остальное меняется по желанию левой пятки.
Практически все управляемые коммутаторы имеют некий аналог функционалу Port Security - к порту привязывается мак-адрес статически, и фреймы с другими мак-адресами отбрасываются (или даже порт тушится административно), На более продвинутых можно настраивать и пары MAC-IP.
Даже самые дешевые управляшки вроде D-Link DES-12** умеют что-то подобное в том или ином виде. Чтоб сменить разрешенный мак на порту, в таком случае, надо зайти на панель управления коммутатора, с паролем.
Более серьезная защита - 802.1x. Но далеко не всегда его поддерживают железки и софт. Да и админы тоже.

Answer 3

[Армянское Радио]

Дешевому бюджетному коммутатору вообще до фени, что в него втыкают.

Более основательные, вроде CISCO, с удовольствием обложат матом в syslog любую попытку сунуть в них незнакомый mac, и порт отключат.

А вот от подмены ушлым юзером мака вас ничто не спасет, ни за какие деньги.