Os logs DHCPD mostram os endereços IP solicitantes do PC do roteador quando estão desligados. Nossos arquivos de log estão incorretos?


7

Temos um escritório pequeno e, ao verificar os logs do roteador, notei que vários computadores solicitaram o endereço IP do roteador do escritório fora do horário comercial.

Esta é a saída do arquivo de log:

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

Os funcionários desligam seus computadores quando terminam o trabalho. Confirmei que todos os endereços MAC, exceto dois, pertencem a computadores em nosso escritório.

Recentemente, tivemos uma violação de segurança. Redefinimos o roteador, todas as senhas de administrador e senhas de WiFi.

É possível que esses computadores estejam se ativando fora do horário comercial e se tornando acessíveis a pessoas fora da nossa rede?

Respostas:


7

Faça a primeira pergunta:

É possível que esses computadores estejam se transformando`…

Sim, os computadores podem se ligar e têm esse recurso há muito tempo. Para PCs compatíveis com IBM, isso é normal, pois eles possuem PSX ATX. (Sobre desde 1995). Se você for ao firmware das placas-mãe (também conhecido como BIOS ou UEFI), geralmente terá uma opção para configurar isso. Bastante útil se você possui um PC antigo e deseja que ele seja inicializado e inicializado antes de chegar ao escritório.


A segunda parte da sua pergunta

… E tornando-se acessível a pessoas fora da nossa rede?

é independente da primeira parte. Se isso acontecer quando os computadores forem ligados (independentemente de serem ligados por si ou por você pressionar o botão liga / desliga), você terá um problema. Se for esse o caso, a violação de segurança ainda não foi corrigida.


Por fim, se você obteve o endereço MAC, pode procurar os três primeiros bytes. Eles informarão quais fabricantes fizeram a placa de rede que está solicitando o IP. Isso pode ajudar a identificar a fonte (por exemplo, apenas solicitações de DHCP de impressoras ou de telefones móveis (pessoais?)…

Procurei os endereços em sua postagem:

Os endereços MAC que começam com F8:0F:41ou 98:EE:CBpertencem ao Wistron InfoComm . Segundo a Wikipedia, esta empresa fabrica tablets, telefones celulares e outros dispositivos que executam o Chrome OS .

Os endereços MAC que começam com 64:EB:8Cpertencem à Seiko Epson Corporation. Essas podem ser impressoras (então, novamente, as impressoras provavelmente têm seu próprio intervalo de IPs em um escritório, embora possivelmente com um MAC → IP reservado no servidor DHCP).

Os endereços MAC que começam com 4C:A1:61pertencem à Rain Bird Corporation. Todas as pesquisas que fiz sobre esse nome resultaram em uma empresa de sprinklers.


Finalmente:

Nossos arquivos de log estão incorretos?

Eu duvido disso. Algumas coisas parecem estar solicitando informações de IP. Isso está sendo registrado. Nenhuma falha no registro. O maior problema é por que eles estão fazendo isso fora do horário comercial? Existe um sistema de aspersão de gramado que é ligado o dia todo (e que provavelmente deveria estar ligado 24 horas por dia, 7 dias por semana)? Existem impressoras que não estão desligadas, mas que entram no modo de suspensão? Existem laptops ou PCs que não são desligados corretamente, mas que passam para o modo de baixa energia (inatividade?), Detectam bateria fraca e ligam para entrar no modo de suspensão profunda?

Basicamente, descubra qual dispositivo (deve ser fácil, você tem MACs e IPs, para que você possa usar a documentação para procurar quais PCs são ou usar o roteador para descobrir qual dispositivo é). Em seguida, pesquise mais a partir desses últimos dispositivos. (No caso de um computador com Windows, tente powercfg lastwake).


Só que eu aprendi recentemente que os endereços MAC podem ser alterados. A Comcast faz isso frequentemente em seus roteadores / modems.
DocSalvager

Os endereços MAC geralmente são incorporados à ROM das placas de rede. Muitas NICs copiam disso para seus espaços de trabalho, permitindo que você altere isso. Mas se for alterado, torna-se tarefa da pessoa alterá-lo para garantir 100% de que é exclusivo na LAN. O que você só pode fazer se controlar todos os [potenciais] dispositivos nessa LAN. Como isso não oferece vantagem e apenas cria problemas em potencial, não há uma boa razão para alterar um MAC.
Hennes

Talvez eu não deva expandir "nenhuma boa razão". Há duas exceções: ataques de envenenamento por ARP (como invasor) e, algumas décadas atrás, os ISPs de modems a cabo suportavam apenas um único PC por modem a cabo. Isso foi feito permitindo apenas o acesso a partir de um único MAC. Por mais que eu saiba, isso não foi usado nas últimas décadas; portanto, qualquer solução alternativa para isso é provavelmente de guias desatualizados. Quanto à comcast, eles estão mudando o MAC ou o dispositivo (incluindo o MAC). O último parece mais provável e pode ser devido a algum balanceamento de carga.
Hennes
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.