Журнали DHCPD показують, що ПК запитує IP-адреси від маршрутизатора, коли вони вимкнено. Наші файли журналу невірні?

7

У нас невеликий офіс, і перевіряючи журнали маршрутизаторів, я помітив, що ряд комп’ютерів вимагає IP-адреси від маршрутизатора офісу поза робочим часом.

Це вихідний файл журналу:

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

Співробітники вимикають комп’ютери після закінчення роботи. Я підтвердив, що всі, крім двох зареєстрованих MAC-адрес, належать комп'ютерам нашого офісу.

Нещодавно у нас був порушення безпеки. Ми скидаємо маршрутизатор, усі адміністраторські паролі та паролі WiFi.

Чи можливо, що ці комп’ютери могли б увімкнути себе поза робочим часом та зробити доступними для людей поза нашою мережею?

networking  security  dhcp  logfiles 
bloopiebloopie
джерело

Відповіді:

7

Задайте перше задане питання:

Чи можливо, що ці комп’ютери могли перевертатись самі ...

Так, комп'ютери можуть увімкнути себе та мали цю можливість протягом віків. Для комп'ютерів, сумісних з IBM, це нормально, оскільки вони отримали ATX PSU. (Приблизно з 1995 року). Якщо ви переходите до вбудованого програмного забезпечення материнських плат (він же BIOS або UEFI), у вас часто є можливість налаштувати це. Досить корисно, якщо у вас старий ПК і хочете, щоб він ввімкнувся та завантажився, перш ніж потрапити в офіс.

Друга частина вашого запитання

… І зробити себе доступними для людей поза нашою мережею?

є незалежною від першої частини. Якщо це трапляється, коли комп'ютери включаються (незалежно від того, включені вони самі або натисканням кнопки живлення), у вас виникає проблема. Якщо це так, то порушення безпеки ще не було виправлено.

Нарешті, якщо у вас MAC-адреса, ви можете подивитися на перші три байти. Вони підкажуть, які виробники зробили мережеву карту, яка вимагає IP. Це може допомогти визначити джерело (наприклад, лише запити DHCP від ​​принтерів або з мобільних (персональних?) Телефонів ...

Я шукав адреси у вашій публікації:

MAC-адреси, що починаються з F8:0F:41або 98:EE:CBналежать, належать Wistron InfoComm . За даними Wikipedia, ця фірма виготовляє планшети, мобільні телефони та інші пристрої під керуванням ОС Chrome .

MAC адреси, що починаються з 64:EB:8Cкорпорації Seiko Epson. Це можуть бути принтери (знову ж таки, принтери, мабуть, мають власний діапазон IP в офісі, хоча можливо, із зарезервованим MAC → IP на сервері DHCP).

MAC адреси, що починаються з 4C:A1:61корпорації Rain Bird. Кожен пошук, який я робив за цією назвою, спричиняв фірму-спринклер.

Нарешті:

Наші логотипи неправильні?

Сумніваюсь у цьому. Здається, щось вимагає IP-інформації. Це реєструється. Немає помилок в лісозаготівлі. Більша проблема полягає в тому, чому вони роблять це в неробочий час? Чи існує система газорозпилювачів, яка працює на цілий день (і яка, ймовірно, повинна бути 24/7)? Чи є принтери, які не вимикаються, але замість цього переходять у сплячий режим? Чи є ноутбуки чи ПК, які не вимикаються належним чином, але натомість переходять у режим низької енергії (сну?), Виявляють низький рівень заряду акумулятора та енергію, щоб перейти в режим глибокого сну?

В основному з’ясуйте, який пристрій (це повинно бути просто, у вас є MAC та IP-адреси, тож ви можете скористатися документацією, щоб шукати, для яких ПК це, або за допомогою маршрутизатора, щоб дізнатися, який це пристрій). Потім досліджуйте далі від останніх пристроїв. (У випадку з комп'ютером Windows, спробуйте powercfg lastwake).

Геннес
джерело
За винятком того, що я нещодавно дізнався, що MAC адреси можна змінювати. Comcast робить це часто на своїх маршрутизаторах / модемах.
DocSalvager
MAC-адреси зазвичай вбудовуються в ПЗУ NIC. Багато NIC копіюють це з робочого простору, що дозволяє вам це змінити. Але якщо це буде змінено, то стає людиною, яка його змінює, зробити 100% впевненим, що він унікальний в локальній мережі. Що ви можете зробити, лише якщо керуєте всіма [потенційними] пристроями в тій локальній мережі. Оскільки це не дає переваги і створює лише потенційні проблеми, немає жодних вагомих причин ніколи не змінювати MAC.
Геннес
Можливо, я мушу розширюватись без жодних вагомих причин. Є два винятки: атаки отруєння ARP (як зловмисник), і кілька десятиліть тому кабельні модеми провайдерів підтримували лише один ПК на кабельний модем. Це було зроблено, лише дозволяючи доступ з одного MAC. Як я знаю, фгар не використовувався в останні десятиліття, тому будь-які шляхи вирішення цього питання, ймовірно, є із застарілих посібників. Що стосується comcast, чи вони змінюють MAC або свій пристрій (включаючи його MAC). Останнє здається більш імовірним і може бути пов’язане з деяким врівноваженням навантаження.
Геннес
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.