DHCPD günlükleri, PC'nin yönlendirici tarafından kapatıldıklarında yönlendirici istediği IP adreslerini gösterir. Günlük dosyalarımız yanlış mı?

8

Küçük bir ofise sahibiz ve yönlendirici günlüklerini kontrol ettik. Birkaç bilgisayarın ofis yönlendiricisinden mesai saatleri dışında IP adresi istediğini fark ettim.

Bu günlük dosyası çıktısıdır: 

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

Çalışanlar işleri bittiğinde bilgisayarlarını kapatırlar. Kaydedilen MAC adreslerinin ikisinin dışındaki tümünün ofisimizdeki bilgisayarlara ait olduğunu onayladım.

Son zamanlarda bir güvenlik ihlali yaşadık. Yönelticiyi, tüm yönetici şifrelerini ve WiFi şifrelerini sıfırlıyoruz.

Bu bilgisayarların mesai saatleri dışında kendilerini açmaları ve ağımız dışındaki kişilerin erişebilmeleri mümkün olabilir mi?

networking  security  dhcp  logfiles 
bloopiebloopie
kaynak

Yanıtlar:

7

Sorulan ilk soruyu sor:

Bu bilgisayarların kendilerini döndürebilmesi mümkün mü…

Evet, bilgisayarlar kendilerini açabilir ve uzun zamandır bu yeteneğe sahipti. IBM uyumlu PC'ler için bu normaldir çünkü ATX PSU'ları vardır. (Yaklaşık 1995'ten beri). Anakartların ürün yazılımına (aka BIOS veya UEFI) giderseniz, bunu yapılandırmak için bir seçeneğiniz vardır. Eski bir bilgisayarınız varsa ve ofise gelmeden önce açılmasını ve önyüklenmesini istiyorsanız oldukça yararlıdır.

Sorunuzun ikinci kısmı

… Ve kendilerini ağımızın dışındaki insanlar için erişilebilir kılmak?

ilk kısımdan bağımsızdır. Bilgisayarlar açıldığında bu gerçekleşirse (kendi başlarına mı yoksa güç düğmesine basmanızdan bağımsız olarak) bir sorun yaşarsınız. Bu durumda güvenlik ihlali henüz düzeltilmedi.

Son olarak, eğer MAC adresini aldıysanız ilk üç bayta bakabilirsiniz. Hangi üreticilerin IP isteyen ağ kartını yaptığını söyleyecektir. Bu, kaynağın tanımlanmasına yardımcı olabilir (örneğin, yalnızca DHCP yazıcılardan veya mobil (kişisel) telefonlardan gelen talepler)

Gönderinizdeki adresleri aradım:

İle başlayan MAC adresleri F8:0F:41 veya ile 98:EE:CB ait olmak Wistron InfoComm . Wikipedia'ya göre bu firma yapar Chrome OS çalıştıran tabletler, cep telefonları ve diğer cihazlar .

İle başlayan MAC adresleri 64:EB:8C Seiko Epson Corporation'a aittir. Bunlar yazıcılar olabilir (daha sonra, yazıcıların büyük olasılıkla DHCP sunucusunda ayrılmış bir MAC → IP olmasına rağmen bir ofiste kendi IP aralıkları vardır).

İle başlayan MAC adresleri 4C:A1:61 Rain Bird Corporation'a aittir. Bu adda yaptığım her arama bir yağmurlama firmasıyla sonuçlandı.

En sonunda:

Günlük dosyalarımız hatalı mı?

Bundan şüpheliyim. Bazı şeyler IP bilgisi talep ediyor gibi görünüyor. Bu günlüğe kaydedilir. Günlüklemede hata yok. Büyük sorun, neden mesai saatleri dışında yapıyorlar? Bütün gün çalıştırılan (ve muhtemelen 7/24 üzerinde olması gereken) bir çim yağmurlama sistemi var mı? Kapalı olan ancak bunun yerine uyku moduna geçen yazıcılar var mı? Düzgün kapanmayan, ancak bunun yerine düşük güç (uyku) moduna giren, düşük pil seviyesini algılayan ve derin bir uyku moduna geçmek için güç sağlayan dizüstü bilgisayarlar veya bilgisayarlar var mı?

Temel olarak, hangi cihazın (kolay olması gerektiği, MAC'leriniz ve IP'leriniz olduğunu öğrenin, böylece hangi bilgisayarların olduğunu bulmak için belgeleri kullanabilir veya hangi cihazın olduğunu bulmak için yönlendiriciyi kullanabilirsiniz). Ardından bu son cihazlardan daha fazla araştırma yapın. (Windows bir bilgisayar durumunda deneyin powercfg lastwake ).

Hennes
kaynak
Ancak son zamanlarda MAC adreslerinin değiştirilebileceğini öğrendim. Comcast bunu yönlendiricileri / modemlerinde sıklıkla yapar.
DocSalvager
MAC adresleri genellikle NIC ROM'unda bulunur. Pek çok NIC bundan değişerek çalışma alanını kopyalar. Fakat eğer değiştirilirse, LAN'da benzersiz olduğundan% 100 emin olmak için değiştiren kişinin işi olur. LAN'daki tüm [potansiyel] aygıtları kontrol ediyorsanız, bunu yapabilirsiniz. Bu avantaj sağlamaz ve sadece potansiyel problemler yarattığı için bir MAC'yi değiştirmek için iyi bir sebep yoktur.
Hennes
Belki de 'iyi bir sebep yok' ifadesini genişletmeliyim. İki istisna vardır: ARP zehirlenmesi saldırıları (saldırgan olarak) ve birkaç on yıl önce kablo modemleri ISS'ler kablo modem başına yalnızca bir tek PC'yi destekledi. Bu yalnızca tek bir MAC'ten erişime izin verilerek yapıldı. Bildiğim kadarıyla bunun son onlarda kullanılmadığı kadar garip olduğu için, bunun için herhangi bir geçici çözüm muhtemelen eski rehberlerden geliyor. Comcast'e gelince, MAC'larını mı yoksa cihazlarını mı değiştiriyorlar (MAC'i dahil). İkincisi daha muhtemel görünüyor ve bazı yük dengelemelerden kaynaklanıyor olabilir.
Hennes
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.