Dzienniki DHCPD pokazują adresy IP żądające komputera od routera, gdy są wyłączone. Czy nasze pliki dziennika są niepoprawne?

7

Mamy małe biuro i po sprawdzeniu logów routera zauważyłem, że pewna liczba komputerów zażądała adresu IP od routera biurowego poza godzinami pracy.

Oto dane wyjściowe pliku dziennika:

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

Pracownicy wyłączają komputery po zakończeniu pracy. Potwierdziłem, że wszystkie zarejestrowane adresy MAC oprócz dwóch należą do komputerów w naszym biurze.

Niedawno mieliśmy naruszenie bezpieczeństwa. Resetujemy router, wszystkie hasła administratora i hasła Wi-Fi.

Czy to możliwe, że komputery te włączają się poza godzinami pracy i udostępniają się osobom spoza naszej sieci?

bloopiebloopie
źródło

Odpowiedzi:

7

Zadaj pierwsze pytanie:

Czy to możliwe, że komputery te same się zmieniają…

Tak, komputery mogą się włączać i miały tę funkcję od wieków. W przypadku komputerów kompatybilnych z IBM jest to normalne, ponieważ mają zasilacze ATX. (Około od 1995 r.). Jeśli przejdziesz do oprogramowania płyty głównej (inaczej BIOS lub UEFI), często masz opcję skonfigurowania tego. Bardzo przydatne, jeśli masz stary komputer i chcesz go włączyć i uruchomić przed wejściem do biura.


Druga część twojego pytania

… I udostępniając się osobom spoza naszej sieci?

jest niezależny od pierwszej części. Jeśli dzieje się tak, gdy komputery włączają się (niezależnie od tego, czy włączają się same, czy po naciśnięciu przycisku zasilania), oznacza to, że masz problem. W takim przypadku naruszenie bezpieczeństwa nie zostało jeszcze naprawione.


Wreszcie, jeśli masz adres MAC, możesz spojrzeć na pierwsze trzy bajty. Powiedzą ci, którzy producenci stworzyli kartę sieciową, która żąda adresu IP. Pomoże to zidentyfikować źródło (np. Tylko DHCP wymaga drukarek lub telefonów komórkowych (osobistych?)…

Sprawdziłem adresy w twoim poście:

Adresy MAC zaczynające się na F8:0F:41lub od 98:EE:CBnależą do Wistron InfoComm . Według Wikipedii firma ta produkuje tablety, telefony komórkowe i inne urządzenia z systemem operacyjnym Chrome .

Adresy MAC zaczynające się od 64:EB:8Cnależą do Seiko Epson Corporation. Mogą to być drukarki (z drugiej strony drukarki prawdopodobnie mają swój własny zakres adresów IP w biurze, choć być może mają zarezerwowany adres MAC → IP na serwerze DHCP).

Adresy MAC zaczynające się od 4C:A1:61należą do Rain Bird Corporation. Każde wyszukiwanie tej nazwy skutkowało firmą zraszającą.


Wreszcie:

Czy nasze pliki dziennika są niepoprawne?

Wątpię w to. Wydaje się, że coś wymaga informacji o adresie IP. To jest rejestrowane. Brak błędów w logowaniu. Większy problem polega na tym, dlaczego robią to poza godzinami pracy? Czy istnieje system zraszania trawników, który jest włączony przez cały dzień (i prawdopodobnie powinien być dostępny 24/7)? Czy są drukarki, które nie są wyłączone, ale zamiast tego przechodzą w tryb uśpienia? Czy istnieją laptopy lub komputery PC, które nie wyłączają się prawidłowo, ale które zamiast tego przechodzą w tryb niskiego zużycia energii (uśpienia?), Wykrywają niski poziom naładowania baterii i włączają się w celu przejścia w tryb głębokiego uśpienia?

Zasadniczo dowiedz się, które urządzenie (powinno być łatwe, masz adresy MAC i IP, więc możesz albo skorzystać z dokumentacji, aby sprawdzić, które to komputery, albo użyć routera, aby dowiedzieć się, które to urządzenie). Następnie badaj dalej od tych ostatnich urządzeń. (W przypadku komputera z systemem Windows spróbuj powercfg lastwake).

Hennes
źródło
Tyle że ostatnio dowiedziałem się, że adresy MAC można zmienić. Comcast robi to często na swoich routerach / modemach.
DocSalvager
Adresy MAC zwykle są wbudowane w ROM NIC. Wiele kart sieciowych kopiuje to z miejsca pracy, co pozwala to zmienić. Ale jeśli zostanie zmieniony, staje się zadaniem osoby zmieniającej go, aby mieć 100% pewność, że jest unikalny w sieci LAN. Co możesz zrobić tylko wtedy, gdy kontrolujesz wszystkie [potencjalne] urządzenia w tej sieci LAN. Ponieważ nie daje to żadnych korzyści i stwarza jedynie potencjalne problemy, nie ma dobrego powodu, aby kiedykolwiek zmieniać MAC.
Hennes,
Może powinienem rozwinąć bez „żadnego dobrego powodu”. Istnieją dwa wyjątki: ataki zatruwające ARP (jako atakujący) oraz kilka dekad temu modemy kablowe Dostawcy usług internetowych obsługiwali tylko jeden komputer na modem kablowy. Dokonano tego, umożliwiając dostęp tylko z jednego MAC. Choć jestem tak cholernie znany, że nie był używany w ostatnich dziesięcioleciach, więc wszelkie obejścia tego prawdopodobnie pochodzą z przestarzałych przewodników. Jeśli chodzi o comcast, czy zmieniają swój MAC lub urządzenie (w tym jego MAC). Ta ostatnia wydaje się bardziej prawdopodobna i może wynikać z pewnego równoważenia obciążenia.
Hennes,