Network/Virtual Switch | ARP Cache Poisoning-Angriff

    Hallo,


    seit längerer Zeit beobachte ich nun auf mehreren Clients im Netzwerk, dass ESET mir die Hinweise gibt, dass mögicherweise ein ARP Cache Poisoning-Angriff stattfindet. Nun habe ich die QNAP komplett neu initialisiert und die Firmware neu installiert, da das Update auf 5.X nicht geklappt hatte. Die Meldungen allerdings sind immernoch da. Ein kompromitiertes NAS möchte ich ausschließen, da der Zugriff momentan komplett auf lokal gesetzt ist und die NAS weder ins Internet kommt noch das Internet zu ihr ^^.

    Habe in die Anhänge einen Screenshot von einem virtual adapter gepostet, welcher unter unterschiedlichen Nummern kommt und wieder geht. Das ist mir aufgefallen.

    Beide Netzwerkkarten sind gebündelt mit fester IP in Betrieb im Modus:802.3ad dynamic (IP und MAC).

    Witzigerweise zeigt mir die QNAP auch nur einen in Betrieb befindlichen Adapter an...


    Nun bin ich leider mit meinem Latein am Ende und weiß nicht wie ich diesem Fehler auf den Grund gehen kann. Hoffentlich kennt sich jemand aus und kann mir helfen, da die Meldungen nicht nur nerven sondern auch beunruhigen.


    Es handelt sich um eine TS-253B mit FW 5.0.0.1828


    Herzlichen Dank bereits im Voraus.

    BG

    Icey

    Auf den Screens ist ja net viel zu erkennen ..


    Gibts es irgendwelche VM's oder Container im Bridge Modus ? ... Da könnte ich mir durchaus Fehlalarme vorstellen

    Das hatte ich bei der B mit einer 4.3 oder so was rum auch mal.


    Setze mal die Netzwerkeinstellungen mit dem 3 Sekunden Reset zurück und richte den vSwitch neu ein.

    Seit dem habe ich solche Problem hier nicht mehr gesehen.

    Hi dolbyman,


    ja ich habe um ehrlich zu sein alle Container im Bridge Mode am laufen.

    Was für Infos wären denn noch nötig?


    Warum sollte der Bridge Mode daran schuld sein?


    Danke erstmal.

    BG

    Icey

    Bridge Mode agiert ja hier als "virtuelle Netzwerkkarte" die hier mehrerer Hosts vorgaukelt.


    Zitat von Virtualbox

    With bridged networking, Oracle VM VirtualBox uses a device driver on your host system that filters data from your physical network adapter. This driver is therefore called a net filter driver. This enables Oracle VM VirtualBox to intercept data from the physical network and inject data into it, effectively creating a new network interface in software. When a guest is using such a new software interface, it looks to the host system as though the guest were physically connected to the interface using a network cable. The host can send data to the guest through that interface and receive data from it. This means that you can set up routing or bridging between the guest and the rest of your network.

    Ich kenn jetzt ESETS Algorithmen nicht .. aber könnte schon suspekt vorkommen wenn sich ein Netzwerkadapter mit mehren Adressen meldet.

    Hi,

    Ja das könnte sein.
    Allerdings habe ich mit XArp ebenfalls von mehreren Hosts die Alarme empfangen und die MAC Adressen zu welchen geswitcht wird sind keine der Container. Werde mal den 3 Sek Reset versuchen. Allerdings hatte ich ja das NAS erst vor vier Tagen komplett neu aufgesetzt.
    Die Container im NAT Mode wäre allerdings auch möglich. Dauert nur länger :)

    Mit freundlichen Grüßen

    Icey

    Der Trick ist doch, dass jeder Conti eine eigene MAC und eine eigene IP hat und ESET läuft nicht auf dem Switch, weiß also nicht dass auf dem einen Port/LAG hier mehrere MACs rein kommen.

    Springt jetzt aber eine IP von einer MAC zur anderen, wie es bei mir der Fall war, da jeder Adapter mal seine MAC für den LAG anbiedern durfte, dann dreht der Virenschutz durch, bei mir halt das Firewall Log.


    Musste die Meldungen unterdrücken, seit Firmware 4.x ist das aber vorbei und hier kommt dann nur noch eine MAC mit der NAS IP daher oder aber eine Virtuelle, die dann beide Adapter nutzen können.


    Vermutlich war hier die 802.3ad Implementierung buggy.

    Ich hatte diese ESET Meldung auch (bei aktivierter Portbündelung).

    Dann hat die gleiche IP zwei verschiedene MAC Adressen (der zwei verschiedenen Ports), was die Warnung triggert.


    Tschau

    Uwe