Os logs do DHCPD mostram os endereços IP solicitantes do PC quando eles estão desligados. Nossos arquivos de log estão incorretos?

8

Temos um pequeno escritório e, ao verificar os registros do roteador, notei que vários computadores solicitaram o endereço IP do roteador do escritório fora do horário comercial.

Esta é a saída do arquivo de log:

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

Os funcionários desligam seus computadores quando terminam o trabalho. Confirmei que todos, exceto dois dos endereços MAC registrados pertencem a computadores em nosso escritório.

Recentemente, tivemos uma violação de segurança. Nós redefinimos o roteador, todas as senhas do administrador e as senhas do WiFi.

É possível que esses computadores estejam se conectando fora do horário comercial e tornando-se acessíveis a pessoas fora de nossa rede?

    
por bloopiebloopie 18.11.2016 / 14:11

1 resposta

7

Peça a primeira pergunta:

Is it possible that these computers could be turning themselves' …

Sim, os computadores podem se ativar e ter essa capacidade por muito tempo. Para PCs compatíveis com IBM, isso é normal, já que eles têm PSU ATX. (Sobre desde 1995). Se você vai para o firmware das placas-mãe (também conhecido como BIOS ou UEFI), muitas vezes você tem uma opção para configurar isso. Bastante útil se você tiver um PC antigo e quiser que ele seja ligado e inicializado antes de você chegar ao escritório.

A segunda parte da sua pergunta

… and making themselves accessible to people outside of our network?

é independente da primeira parte. Se isso acontecer quando os computadores ligarem (independentemente de estarem ligados por si próprios ou ao premir o botão de energia), terá um problema. Se esse for o caso, a violação de segurança ainda não foi corrigida.

Por fim, se você tiver o endereço MAC, poderá ver os três primeiros bytes. Eles lhe dirão quais fabricantes fizeram a placa de rede que está solicitando o IP. Isso pode ajudar a identificar a origem (por exemplo, apenas solicitações DHCP de impressoras ou de telefones móveis (pessoais?)…

Procurei os endereços na sua postagem:

Os endereços MAC que começam com F8:0F:41 ou com 98:EE:CB pertencem a Wistron InfoComm . De acordo com a Wikipedia, esta empresa fabrica tablets, telefones celulares e outros dispositivos que executam o Chrome OS .

Os endereços MAC que começam com 64:EB:8C pertencem à Seiko Epson Corporation. Essas podem ser impressoras (então, novamente, as impressoras provavelmente têm seu próprio intervalo de IP em um escritório, embora possivelmente com um endereço reservado MAC → IP no servidor DHCP).

Os endereços MAC que começam com 4C:A1:61 pertencem à Rain Bird Corporation. Todas as pesquisas que fiz nesse nome resultaram em uma empresa de sprinklers.

Finalmente:

Are our logfiles incorrect?

Eu duvido disso. Algumas coisas parecem estar solicitando informações de IP. Isso está sendo registrado. Nenhuma falha no registro. O maior problema é por que eles estão fazendo isso fora do horário de expediente? Existe um sistema de aspersão de grama que é ligado o dia inteiro (e que provavelmente deveria estar em 24/7)? Existem impressoras que não estão desligadas, mas vão para o modo de suspensão? Há laptops ou PCs que não são desligados corretamente, mas que, em vez disso, passam para um modo de baixa energia (sono?), Detectam bateria fraca e ligam para entrar no modo de suspensão profunda?

Basicamente, descubra qual dispositivo (deve ser fácil, você tem MACs e IPs, então você pode usar a documentação para procurar quais PCs é, ou usar o roteador para descobrir qual dispositivo é). Então pesquise mais longe dos últimos dispositivos. (No caso de um computador com Windows, tente powercfg lastwake ).

    
por 18.11.2016 / 14:39