Les journaux DHCPD affichent les adresses IP demandées par le PC au routeur lorsqu'elles sont éteintes. Nos fichiers journaux sont-ils incorrects?

7

Nous avons un petit bureau et en vérifiant les journaux du routeur, j'ai remarqué qu'un certain nombre d'ordinateurs ont demandé une adresse IP au routeur du bureau en dehors des heures d'ouverture.

Voici la sortie du fichier journal:

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

Les employés éteignent leur ordinateur une fois le travail terminé. J'ai confirmé que toutes les adresses MAC enregistrées, sauf deux, appartiennent aux ordinateurs de notre bureau.

Nous avons récemment eu une faille de sécurité. Nous réinitialisons le routeur, tous les mots de passe administrateur et les mots de passe WiFi.

Est-il possible que ces ordinateurs se mettent en marche en dehors des heures d'ouverture et se rendent accessibles aux personnes extérieures à notre réseau?

networking  security  dhcp  logfiles 
bloopiebloopie
source

Réponses:

7

Posez la première question posée:

Est-il possible que ces ordinateurs se retournent eux-mêmes »…

Oui, les ordinateurs peuvent s'allumer et ont cette capacité depuis des lustres. Pour les PC compatibles IBM, cela est normal car ils ont obtenu des blocs d'alimentation ATX. (Environ depuis 1995). Si vous allez dans le firmware de la carte mère (alias BIOS ou UEFI), vous avez souvent la possibilité de le configurer. Très utile si vous avez un ancien PC et que vous souhaitez qu'il s'allume et démarre avant d'arriver au bureau.

La deuxième partie de votre question

… Et se rendre accessible aux personnes extérieures à notre réseau?

est indépendant de la première partie. Si cela se produit lorsque les ordinateurs se mettent sous tension (indépendamment du fait qu'ils se soient allumés par eux-mêmes ou en appuyant sur le bouton d'alimentation), vous avez un problème. Si tel est le cas, la faille de sécurité n'a pas encore été corrigée.

Enfin, si vous avez obtenu l'adresse MAC, vous pouvez regarder les trois premiers octets. Ils vous diront quels fabricants ont fabriqué la carte réseau qui demande l'IP. Cela peut aider à identifier la source (par exemple, uniquement les demandes DHCP des imprimantes ou des téléphones mobiles (personnels?)…

J'ai recherché les adresses dans votre message:

Les adresses MAC commençant par F8:0F:41ou avec 98:EE:CBappartiennent à Wistron InfoComm . Selon Wikipedia, cette entreprise fabrique des tablettes, des téléphones mobiles et d'autres appareils fonctionnant sous Chrome OS .

Les adresses MAC commençant par 64:EB:8Cappartiennent à Seiko Epson Corporation. Il peut s'agir d'imprimantes (là encore, les imprimantes ont probablement leur propre plage IP dans un bureau, mais éventuellement avec un MAC → IP réservé sur le serveur DHCP).

Les adresses MAC commençant par 4C:A1:61appartiennent à Rain Bird Corporation. Chaque recherche que j'ai faite sur ce nom a abouti à une entreprise de gicleurs.

Finalement:

Nos fichiers journaux sont-ils incorrects?

Je doute que. Quelque chose semble demander des informations IP. Ceci est en cours d'enregistrement. Aucun défaut dans la journalisation. Le plus gros problème est pourquoi font-ils cela en dehors des heures de bureau? Existe-t-il un système d'arrosage de pelouse qui est allumé toute la journée (et qui est probablement censé être allumé 24h / 24 et 7j / 7)? Y a-t-il des imprimantes qui ne sont pas hors tension mais qui passent en mode veille? Y a-t-il des ordinateurs portables ou des PC qui ne s'éteignent pas correctement mais qui passent à la place en mode basse consommation (veille?), Détectent une batterie faible et se mettent sous tension pour passer en mode veille profonde?

Fondamentalement, découvrez de quel appareil (cela devrait être facile, vous avez des MAC et des IP, vous pouvez donc soit utiliser la documentation pour rechercher de quels PC il s'agit, soit utiliser le routeur pour savoir de quel appareil il s'agit). Recherchez ensuite plus loin de ces derniers appareils. (Dans le cas d'un ordinateur Windows, essayez powercfg lastwake).

Hennes
source
Sauf que j'ai récemment appris que les adresses MAC peuvent être modifiées. Comcast le fait fréquemment sur son routeur / modem.
DocSalvager
Les adresses MAC sont généralement intégrées à la ROM des cartes réseau. De nombreuses cartes réseau copient de ceci vers leur espace de travail, vous permettant de changer cela. Mais s'il est modifié, cela devient le travail de la personne qui le change pour s'assurer à 100% qu'il est unique sur le LAN. Ce que vous ne pouvez faire que si vous contrôlez tous les périphériques [potentiels] sur ce LAN. Comme cela n'offre aucun avantage et ne crée que des problèmes potentiels, il n'y a aucune bonne raison de changer un MAC.
Hennes
Peut-être que je ne devrais pas développer «aucune bonne raison». Il existe deux exceptions: les attaques d'empoisonnement ARP (en tant qu'attaquant) et il y a quelques décennies, les FAI de modems câble ne prenaient en charge qu'un seul PC par modem câble. Cela a été fait en n'autorisant l'accès qu'à partir d'un seul MAC. Pour autant que je sache, cela n'a pas été utilisé au cours des dernières décennies, donc toute solution de contournement provient probablement de guides obsolètes. Quant au comcast, change-t-il son MAC ou son appareil (y compris son MAC). Ce dernier semble plus probable et peut être dû à un certain équilibrage de charge.
Hennes
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.