Los registros de DHCPD muestran las direcciones IP solicitantes de la PC desde el enrutador cuando están apagadas. ¿Son incorrectos nuestros archivos de registro?

7

Tenemos una pequeña oficina y, al revisar los registros del enrutador, noté que varias computadoras han solicitado la dirección IP del enrutador de la oficina fuera del horario comercial.

Esta es la salida del archivo de registro:

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

Los empleados apagan sus computadoras cuando terminan de trabajar. He confirmado que todas menos dos de las direcciones MAC registradas pertenecen a computadoras en nuestra oficina.

Recientemente tuvimos una violación de seguridad. Restablecemos el enrutador, todas las contraseñas de administrador y las contraseñas de WiFi.

¿Es posible que estas computadoras puedan encenderse fuera del horario comercial y hacerse accesibles a personas fuera de nuestra red?

networking security dhcp logfiles bloopiebloopie
fuente

Respuestas:

7

Pregunte por la primera pregunta que se hace:

¿Es posible que estas computadoras se estén volviendo a sí mismas?

Sí, las computadoras pueden encenderse y han tenido esta capacidad por siglos. Para las PC compatibles con IBM, esto es normal ya que obtuvieron fuentes de alimentación ATX. (Acerca de desde 1995). Si va al firmware de las placas base (también conocido como BIOS o UEFI), a menudo tiene una opción para configurar esto. Bastante útil si tiene una PC vieja y desea que se encienda y arranque antes de llegar a la oficina.

La segunda parte de tu pregunta

... y hacerlos accesibles a personas fuera de nuestra red?

Es independiente de la primera parte. Si eso sucede cuando las computadoras se encienden (independientemente de si se encendieron solas o si presiona el botón de encendido), entonces tiene un problema. Si ese es el caso, la violación de seguridad aún no se ha solucionado.

Por último, si tiene la dirección MAC, puede mirar los primeros tres bytes. Le dirán qué fabricantes hicieron la tarjeta de red que solicita la IP. Esto puede ayudar a identificar la fuente (p. Ej., Solo requisitos de DHCP de impresoras o de teléfonos móviles (¿personales?) ...

Busqué las direcciones en tu publicación:

Las direcciones MAC que comienzan con F8:0F:41o con 98:EE:CBpertenecen a Wistron InfoComm . Según Wikipedia, esta empresa fabrica tabletas, teléfonos móviles y otros dispositivos con Chrome OS .

Las direcciones MAC que comienzan con 64:EB:8Cpertenecen a Seiko Epson Corporation. Esas pueden ser impresoras (de nuevo, las impresoras probablemente tengan su propio rango de IP en una oficina, aunque posiblemente con un MAC → IP reservado en el servidor DHCP).

Las direcciones MAC que comienzan con 4C:A1:61pertenecen a Rain Bird Corporation. Cada búsqueda que hice en ese nombre resultó en una empresa de rociadores.

Finalmente:

¿Son incorrectos nuestros archivos de registro?

Dudo que. Algunas cosas parecen estar solicitando información de IP. Esto se está registrando. No hay fallas en el registro. El mayor problema es por qué lo hacen fuera del horario de oficina. ¿Existe un sistema de rociadores de césped que esté encendido todo el día (y que probablemente esté encendido las 24 horas, los 7 días de la semana)? ¿Hay impresoras que no están apagadas sino que pasan al modo de suspensión? ¿Hay computadoras portátiles o PC que no se apagan correctamente pero que en cambio pasan al modo de bajo consumo (reposo?), Detectan batería baja y se encienden para pasar al modo de reposo profundo?

Básicamente, averigüe qué dispositivo (debe ser fácil, tiene MAC e IP, para que pueda usar la documentación para buscar qué PC es o usar el enrutador para averiguar qué dispositivo es). Luego investigue más allá de esos últimos dispositivos. (En el caso de una computadora con Windows intente powercfg lastwake).

Hennes
fuente
Excepto que recientemente aprendí que las direcciones MAC se pueden cambiar. Comcast hace esto con frecuencia en sus enrutadores / módems.
DocSalvager
Las direcciones MAC generalmente están integradas en la ROM de las NIC. Muchas NIC copian de esto a su espacio de trabajo, lo que le permite cambiar eso. Pero si se cambia, se convierte en el trabajo de la persona que lo cambia para asegurarse al 100% de que es único en la LAN. Lo que solo puede hacer si controla todos los dispositivos [potenciales] en esa LAN. Como esto no ofrece ninguna ventaja y solo crea problemas potenciales, no hay una buena razón para cambiar un MAC.
Hennes
Tal vez debería ampliar no 'no hay una buena razón'. Hay dos excepciones: los ataques de envenenamiento por ARP (como el atacante), y hace algunas décadas, los ISP de módems de cable solo admitían una sola PC por módem de cable. Eso se hizo permitiendo solo el acceso desde un solo MAC. Por lo que sé, esto no se ha utilizado en las últimas décadas, por lo que cualquier solución para eso probablemente sea de guías obsoletas. En cuanto a Comcast, ¿están cambiando su MAC o su dispositivo (incluido su MAC)? Esto último parece más probable y puede deberse a cierto equilibrio de carga.
Hennes