Os logs do DHCPD mostram os endereços IP solicitantes do PC quando eles estão desligados. Nossos arquivos de log estão incorretos?

Question

Os logs do DHCPD mostram os endereços IP solicitantes do PC quando eles estão desligados. Nossos arquivos de log estão incorretos?

#1 resposta do (7 votos)

8

Temos um pequeno escritório e, ao verificar os registros do roteador, notei que vários computadores solicitaram o endereço IP do roteador do escritório fora do horário comercial.

Esta é a saída do arquivo de log:

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

Os funcionários desligam seus computadores quando terminam o trabalho. Confirmei que todos, exceto dois dos endereços MAC registrados pertencem a computadores em nosso escritório.

Recentemente, tivemos uma violação de segurança. Nós redefinimos o roteador, todas as senhas do administrador e as senhas do WiFi.

É possível que esses computadores estejam se conectando fora do horário comercial e tornando-se acessíveis a pessoas fora de nossa rede?

networking security dhcp logfiles

por bloopiebloopie 18.11.2016 / 14:11

1 resposta

Tags networking security dhcp logfiles

Existe algum software que realiza uma análise textual em blogs? [fechadas] Por que a expressão exp (i * pi) retorna o resultado errado no GNU Octave?

score 7 · Accepted Answer

Peça a primeira pergunta:

Is it possible that these computers could be turning themselves' …

Sim, os computadores podem se ativar e ter essa capacidade por muito tempo. Para PCs compatíveis com IBM, isso é normal, já que eles têm PSU ATX. (Sobre desde 1995). Se você vai para o firmware das placas-mãe (também conhecido como BIOS ou UEFI), muitas vezes você tem uma opção para configurar isso. Bastante útil se você tiver um PC antigo e quiser que ele seja ligado e inicializado antes de você chegar ao escritório.

A segunda parte da sua pergunta

… and making themselves accessible to people outside of our network?

é independente da primeira parte. Se isso acontecer quando os computadores ligarem (independentemente de estarem ligados por si próprios ou ao premir o botão de energia), terá um problema. Se esse for o caso, a violação de segurança ainda não foi corrigida.

Por fim, se você tiver o endereço MAC, poderá ver os três primeiros bytes. Eles lhe dirão quais fabricantes fizeram a placa de rede que está solicitando o IP. Isso pode ajudar a identificar a origem (por exemplo, apenas solicitações DHCP de impressoras ou de telefones móveis (pessoais?)…

Procurei os endereços na sua postagem:

Os endereços MAC que começam com F8:0F:41 ou com 98:EE:CB pertencem a Wistron InfoComm . De acordo com a Wikipedia, esta empresa fabrica tablets, telefones celulares e outros dispositivos que executam o Chrome OS .

Os endereços MAC que começam com 64:EB:8C pertencem à Seiko Epson Corporation. Essas podem ser impressoras (então, novamente, as impressoras provavelmente têm seu próprio intervalo de IP em um escritório, embora possivelmente com um endereço reservado MAC → IP no servidor DHCP).

Os endereços MAC que começam com 4C:A1:61 pertencem à Rain Bird Corporation. Todas as pesquisas que fiz nesse nome resultaram em uma empresa de sprinklers.

Finalmente:

Are our logfiles incorrect?

Eu duvido disso. Algumas coisas parecem estar solicitando informações de IP. Isso está sendo registrado. Nenhuma falha no registro. O maior problema é por que eles estão fazendo isso fora do horário de expediente? Existe um sistema de aspersão de grama que é ligado o dia inteiro (e que provavelmente deveria estar em 24/7)? Existem impressoras que não estão desligadas, mas vão para o modo de suspensão? Há laptops ou PCs que não são desligados corretamente, mas que, em vez disso, passam para um modo de baixa energia (sono?), Detectam bateria fraca e ligam para entrar no modo de suspensão profunda?

Basicamente, descubra qual dispositivo (deve ser fácil, você tem MACs e IPs, então você pode usar a documentação para procurar quais PCs é, ou usar o roteador para descobrir qual dispositivo é). Então pesquise mais longe dos últimos dispositivos. (No caso de um computador com Windows, tente powercfg lastwake ).