Security violation - Dziwny MAC

Problemy związane ze switchingiem

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
niebieski
fresh
fresh
Posty: 7
Rejestracja: 05 kwie 2018, 14:52

Security violation - Dziwny MAC

#1

#1 Post autor: niebieski » 05 kwie 2018, 15:03

Witam,
Losowo wypadają mi porty na przełączniku, przełącznik loguje takie zdarzenie:

Kod: Zaznacz cały

%AUTHMGR-5-SECURITY_VIOLATION: Security violation on the interface GigabitEthernet3/0/34, new MAC address (902b.0000.0000) is seen.AuditSessionID  Unassigned
%PM-4-ERR_DISABLE: security-violation error detected on Gi3/0/34, putting Gi3/0/34 in err-disable state (SW-3)
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet3/0/34, changed state to down
%LINK-3-UPDOWN: Interface GigabitEthernet3/0/34, changed state to down
Początek MAC jest zawsze zgodny z podłączonym PC (klienci Windows) potem lecą same zera jak w powyższym przykładzie, w tym przypadku właściwy mac to: 902b.3453.ba2a

Dzieje się to podczas normalnej pracy, żadne wpinanie/hibernowanie/wybudzanie PC, zwyczajnie user przegląda Net i wylatuje port (MAC based auth.)

Po zresetowaniu portu: shutdown/no shutdown przez jakiś czas jest dobrze.

Jakieś sugestie? BUG w sofcie przełącznika?

Pozdr,
Niebieski

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1839
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: Security violation - Dziwny MAC

#2

#2 Post autor: frontier » 05 kwie 2018, 16:04

Jaki switch i jaki soft
Jeden konfig wart więcej niż tysiąc słów

niebieski
fresh
fresh
Posty: 7
Rejestracja: 05 kwie 2018, 14:52

Re: Security violation - Dziwny MAC

#3

#3 Post autor: niebieski » 05 kwie 2018, 19:19

Powyższe zdarzenia rejestruje w różnych punktach dystrybucyjnych na przełącznikach:

Kod: Zaznacz cały

WS-C2960X-48FPD-L soft: C2960X-UNIVERSALK9-M, Version 15.0(2a)EX5
WS-C2960X-48FPD-L soft: C2960X-UNIVERSALK9-M, Version 15.2(2)E5
WS-C2960S-48LPD-L soft: C2960S-UNIVERSALK9-M, Version 12.2(55)SE7
Pozdr,
Niebieski

turbokrecik
member
member
Posty: 34
Rejestracja: 31 lip 2017, 15:35

Re: Security violation - Dziwny MAC

#4

#4 Post autor: turbokrecik » 06 kwie 2018, 06:56

pierwsze co mi przychodzi na myśl to wina stacji końcowej użytkownika (jakiś wirus podmieniający mac?) (uruchomienie wirtualki na systemie użytkownika?)

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1839
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: Security violation - Dziwny MAC

#5

#5 Post autor: frontier » 06 kwie 2018, 08:28

Zgoda z turbokrecik'iem, to raczej stacja końcowa z jakiegoś powodu podmienia MACa. Switch nie robi takich rzeczy bo po co?
Jeden konfig wart więcej niż tysiąc słów

niebieski
fresh
fresh
Posty: 7
Rejestracja: 05 kwie 2018, 14:52

Re: Security violation - Dziwny MAC

#6

#6 Post autor: niebieski » 06 kwie 2018, 08:37

Domyślna konfiguracja na interfejsach:

Kod: Zaznacz cały

 switchport mode access
 switchport voice vlan 2
 switchport port-security maximum 4
 switchport port-security maximum 3 vlan access
 switchport port-security
 authentication event fail action authorize vlan 3
 authentication event no-response action authorize vlan 3
 authentication host-mode multi-domain
 authentication order mab
 authentication port-control auto
 authentication periodic
 authentication timer reauthenticate 60
 mab
 dot1x pae authenticator
 spanning-tree portfast
 spanning-tree bpduguard enable

dzieje się to na różnych stacjach końcowych (wspólny jest OS - Windows), użytkownicy nie mają praw do instalowania oprogramowania - wirtualki nie wchodzą w grę, aktualne oprogramowanie Anty-Vir.
Miałem podejrzenie, że może laptopy podłączane do stacji dokującej w trakcie wpinania albo wybudzania potrafią takie coś wygenerować, ewentualnie wygaszacz/tryb uśpienia itp. ale sytuacja zdarza się również na komputerach stacjonarnych, użytkownicy zeznają, że podczas normalnej pracy np. kopiowania plików.

Nie wiem czy to ma związek - kiedyś przy próbie resetu konfiguracji na takim interfejsie co wyleciał odnotowałem coś takiego:

Kod: Zaznacz cały

SW22(config)#default int gi 2/0/14
Command rejected: the VLAN has already learned more than 65535 addresses
Maximum is less than number of currently secured mac-addresses on the vlan.
Interface GigabitEthernet2/0/14 set to default configuration
Nie wiem jak to ugryźć..., w tym przypadku PC użytkownika podłączone było przez telefon Avaya.


po wpisaniu na interfejsie:

Kod: Zaznacz cały

 switchport access vlan 10
 switchport mode access
 switchport voice vlan 2 
Ten dziwny MAC siedział sobie dalej:

Kod: Zaznacz cały

show mac address-table | inc 3/0/34

   2    64c3.549c.9857    DYNAMIC     Gi3/0/34
  10    902b.0000.0000    DYNAMIC     Gi3/0/34
  10    902b.3453.ba2a    DYNAMIC     Gi3/0/34


Może jakiś debug można założyć aby uzyskać więcej info - jakaś sugestia?
Przyjął bym do wiadomości że to stacja/virus itp. gdyby nie to że dzieje się to na różnych przełącznikach - różne stacje, średnio raz na miesiąc jakaś wylatuje... jak żyć...?




Pozdr,
Niebieski

Awatar użytkownika
konradrz
CCIE
CCIE
Posty: 333
Rejestracja: 23 sty 2008, 14:21
Lokalizacja: Singapore, SG
Kontakt:

Re: Security violation - Dziwny MAC

#7

#7 Post autor: konradrz » 08 kwie 2018, 10:38

1. Skrypt, który reaguje na zamknięcie portu przy takim dziwacznym-a-jednak-podobnym MAC adresie (chociaż nie będziesz miał wtedy skarg).
2. Lecący w tle SPAN (albo, przy odpowiednim hardware, ELAM) i czyhasz.
(ja bym obstawiał uszkodzenie okablowania / jakieś przepięcie czy co - albo bug w firmware karty)

niebieski
fresh
fresh
Posty: 7
Rejestracja: 05 kwie 2018, 14:52

Re: Security violation - Dziwny MAC

#8

#8 Post autor: niebieski » 09 kwie 2018, 10:57

Zawsze dostaje tego typu MAC - pierwsze dwa oktety zgodne z adresem sprzętowym komputera dalej 4 oktety z zerami.
W przypadku uszkodzonego kabla przypuszczam, że byłaby większa losowość.

Tutaj moim zdaniem wystąpił identyczny problem:

https://supportforums.cisco.com/t5/lan- ... -p/2289372
Interface FastEthernet0/16
description PHONE-DEVTORO-PC
switchport mode access
switchport port-security maximum 2
switchport port-security
keepalive 4

Each time this port is down and the log say:

.Oct 2 19:03:23.559: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/16, putting Fa0/16 in err-disable state
.Oct 2 19:03:23.568: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0027.0000.0000 on port FastEthernet0/16.
.Oct 2 19:03:23.568: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/16, changed state to down
.Oct 2 19:03:25.573: %LINK-3-UPDOWN: Interface FastEthernet0/16, changed state to down

Prawdopodobnie przekłamania MAC związane są z telefonami Avaya będącymi przed komputerami użytkowników.

Czy ktoś ma wdrożoną konfiguracje: CISCO - TEL. AVAYA - KLIENT z założonym port security na adresy MAC i mógłby potwierdzić lub obalić hipotezę, że winne są telefony Avaya?

Pozdr,
Niebieski

Awatar użytkownika
balam
wannabe
wannabe
Posty: 974
Rejestracja: 21 cze 2006, 16:27
Lokalizacja: Warszawa

Re: Security violation - Dziwny MAC

#9

#9 Post autor: balam » 10 kwie 2018, 09:51

niebieski pisze:
09 kwie 2018, 10:57
Czy ktoś ma wdrożoną konfiguracje: CISCO - TEL. AVAYA - KLIENT z założonym port security na adresy MAC i mógłby potwierdzić lub obalić hipotezę, że winne są telefony Avaya?
Kiedys miałem taka konfiguracje przed wdrozeniem autoryzacji 802.1x ale wazne zeby CDP było wyłączone w kierunku Avaya i właczone LLDP.
Somewhere back in time.

niebieski
fresh
fresh
Posty: 7
Rejestracja: 05 kwie 2018, 14:52

Re: Security violation - Dziwny MAC

#10

#10 Post autor: niebieski » 10 kwie 2018, 12:15

To jeszcze jedno pytanie,

dlaczego port przechodzi w stan err-disable po pojawieniu się tego "nowego" adresu MAC?

rozumiem, że przełącznik spodziewa się 2 urządzeń: - telefonu i urządzenia za nim (PC), a jak się pojawi kolejne urządzenie to ustawione port-security składa interfejs... tylko, że w konfiguracji maximum jest z zapasem - większe niż 2 :

Kod: Zaznacz cały

 switchport port-security maximum 4
 switchport port-security maximum 3 vlan access
 switchport port-security

Kod: Zaznacz cały

   2    64c3.549c.9857    DYNAMIC     Gi3/0/34
  10    902b.0000.0000    DYNAMIC     Gi3/0/34
  10    902b.3453.ba2a    DYNAMIC     Gi3/0/34
w voice vlanie - jeden adres
w data vlan - zaledwie dwa

Port "wyleciał" decyzją przełącznika - radius nie został odpytany o drugi MAC - w logach czysto.

Czy interfejs składany jest z uwagi na "niepoprawność" tego drugiego adresu MAC?

Awatar użytkownika
balam
wannabe
wannabe
Posty: 974
Rejestracja: 21 cze 2006, 16:27
Lokalizacja: Warszawa

Re: Security violation - Dziwny MAC

#11

#11 Post autor: balam » 10 kwie 2018, 20:41

Kod: Zaznacz cały

show port-security interface
zobacz co masz na takim porcie.
Tu sobie poczytaj troche o port-sec:
https://supportforums.cisco.com/t5/ip-t ... -p/1580921
Somewhere back in time.

niebieski
fresh
fresh
Posty: 7
Rejestracja: 05 kwie 2018, 14:52

Re: Security violation - Dziwny MAC

#12

#12 Post autor: niebieski » 11 kwie 2018, 10:50

przeczytałem proponowany wątek i pewnie Ci o to chodziło:
Sometimes, when the Phone boots the Phone MAC is associated to the Data VLAN first and after that to the Voice VLAN ... if you use the 'maximum 2' you will reach a violation because you will have 3x MAC & VLAN info:
Phone MAC in Data VLAN
Phone MAC in Voice VLAN
PC in Data VLAN
Because of that, it's recommended to use at least 'maximum 3'
Wszystko fajnie ale u mnie w konfiguracji (właśnie z tego wzgledu) jest

Kod: Zaznacz cały

 switchport port-security maximum 4
 switchport port-security maximum 3 vlan access
co wg. mnie ma zabezpieczać przed sytuacją, że w Data VLAN podczas startu wpadnie chwilowo MAC telefonu.

podczas normalnej pracy taki interfejs zgłasza:

Kod: Zaznacz cały

Maximum MAC Addresses      : 4
Total MAC Addresses        : 2
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 0
Na logikę wygląda, że jeszcze ze 2 adresy by się zmieściły dlatego dalej jest dla mnie zagadką czemu leci err-disable przy MACu z zerami?

Awatar użytkownika
balam
wannabe
wannabe
Posty: 974
Rejestracja: 21 cze 2006, 16:27
Lokalizacja: Warszawa

Re: Security violation - Dziwny MAC

#13

#13 Post autor: balam » 12 kwie 2018, 12:53

niebieski pisze:
11 kwie 2018, 10:50
Na logikę wygląda, że jeszcze ze 2 adresy by się zmieściły dlatego dalej jest dla mnie zagadką czemu leci err-disable przy MACu z zerami?
Co pokazuje podczas problemu?
Somewhere back in time.

Awatar użytkownika
art
wannabe
wannabe
Posty: 404
Rejestracja: 04 lip 2011, 10:25

Re: Security violation - Dziwny MAC

#14

#14 Post autor: art » 16 kwie 2018, 11:50

konradrz pisze:
08 kwie 2018, 10:38
[...]
(ja bym obstawiał uszkodzenie okablowania / jakieś przepięcie czy co - albo bug w firmware karty)
Miałem coś podobnego, porty zaczęły się same blokować. Już nie pamiętam, jaki tam był konfig. Wina: marnej jakości okablowanie + win 10.
Po podłączeniu bezpośrednio do switcha nowym patchcordem (około 15 metrów), problemy zniknęły. Spróbuj zrobić to samo.
Ups I switched again =)

niebieski
fresh
fresh
Posty: 7
Rejestracja: 05 kwie 2018, 14:52

Re: Security violation - Dziwny MAC

#15

#15 Post autor: niebieski » 11 lip 2018, 15:35

Dzisiaj kolejny przypadek:

Kod: Zaznacz cały

%AUTHMGR-5-SECURITY_VIOLATION: Security violation on the interface GigabitEthernet3/0/26, new MAC address (4061.0000.0000) is seen.AuditSessionID  Unassigned
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet3/0/26, changed state to down
%PM-4-ERR_DISABLE: security-violation error detected on Gi3/0/26, putting Gi3/0/26 in err-disable state (SW-3)
%LINK-3-UPDOWN: Interface GigabitEthernet3/0/26, changed state to down
balam pisze:
12 kwie 2018, 12:53
Co pokazuje podczas problemu?
coś takiego:

Kod: Zaznacz cały

show port-security interface gigabitEthernet 3/0/26
Port Security              : Enabled
Port Status                : Secure-down
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 4
Total MAC Addresses        : 0
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 64c3.549c.9856:2
Security Violation Count   : 0
po restarcie interfejsu poprawne wartości:

Kod: Zaznacz cały

show mac address-table | inc 3/0/26
   2    64c3.549c.9856    STATIC      Gi3/0/26
  10    4061.86ca.8d21    STATIC      Gi3/0/26
Zdarzenia zawsze w miejscach gdzie PC podpięty przez telefon.

ODPOWIEDZ