DHCPD-Protokolle zeigen an, dass der PC beim Ausschalten IP-Adressen vom Router anfordert. Sind unsere Protokolldateien falsch?

Wir haben ein kleines Büro und beim Überprüfen der Router-Protokolle habe ich festgestellt, dass einige Computer außerhalb der Geschäftszeiten eine IP-Adresse vom Office-Router angefordert haben.

Dies ist die Ausgabe der Protokolldatei:

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

Die Mitarbeiter schalten ihre Computer nach Beendigung der Arbeit aus. Ich habe bestätigt, dass alle bis auf zwei protokollierten MAC-Adressen zu Computern in unserem Büro gehören.

Wir hatten kürzlich eine Sicherheitsverletzung. Wir setzen den Router, alle Administratorkennwörter und die WLAN-Kennwörter zurück.

Ist es möglich, dass sich diese Computer außerhalb der Geschäftszeiten einschalten und sich für Personen außerhalb unseres Netzwerks zugänglich machen?

— bloopiebloopie
quelle

Stellen Sie die erste Frage:

Ist es möglich, dass sich diese Computer selbst drehen?

Ja, Computer können sich selbst einschalten und haben diese Funktion schon seit Ewigkeiten. Für IBM-kompatible PCs ist dies normal, da sie ATX-Netzteile haben. (Ungefähr seit 1995). Wenn Sie zur Motherboard-Firmware (auch bekannt als BIOS oder UEFI) wechseln, haben Sie häufig die Möglichkeit, diese zu konfigurieren. Sehr nützlich, wenn Sie einen alten PC haben und möchten, dass dieser hochgefahren und gestartet wird, bevor Sie ins Büro kommen.

Der zweite Teil Ihrer Frage

… Und sich für Menschen außerhalb unseres Netzwerks zugänglich machen?

ist unabhängig vom ersten Teil. Wenn dies beim Einschalten der Computer geschieht (unabhängig davon, ob sie sich selbst oder durch Drücken des Netzschalters einschalten), liegt ein Problem vor. In diesem Fall wurde die Sicherheitsverletzung noch nicht behoben.

Wenn Sie die MAC-Adresse erhalten haben, können Sie sich die ersten drei Bytes ansehen. Sie werden Ihnen mitteilen, welche Hersteller die Netzwerkkarte hergestellt haben, die die IP anfordert. Dies kann helfen, die Quelle zu identifizieren (z. B. nur DHCP-Anforderungen von Druckern oder von Mobiltelefonen (persönlich?)…

Ich habe die Adressen in Ihrem Beitrag nachgeschlagen:

MAC-Adressen, die mit F8:0F:41oder mit beginnen, 98:EE:CBgehören zu Wistron InfoComm . Laut Wikipedia stellt diese Firma Tablets, Mobiltelefone und andere Geräte her, auf denen Chrome OS ausgeführt wird .

MAC-Adressen, die mit beginnen, 64:EB:8Cgehören zur Seiko Epson Corporation. Dies können Drucker sein (Drucker haben wahrscheinlich einen eigenen IP-Bereich in einem Büro, möglicherweise jedoch mit einem reservierten MAC → IP auf dem DHCP-Server).

MAC-Adressen, die mit beginnen, 4C:A1:61gehören der Rain Bird Corporation. Jede Suche, die ich nach diesem Namen durchführte, führte zu einer Sprinklerfirma.

Schließlich:

Sind unsere Logdateien falsch?

Ich bezweifle das. Etwas scheint IP-Informationen anzufordern. Dies wird protokolliert. Kein Fehler in der Protokollierung. Das größere Problem ist, warum sie das außerhalb der Bürozeiten tun? Gibt es eine Rasensprinkleranlage, die den ganzen Tag eingeschaltet ist (und wahrscheinlich rund um die Uhr eingeschaltet sein soll)? Gibt es Drucker, die nicht ausgeschaltet sind, sondern in den Ruhemodus wechseln? Gibt es Laptops oder PCs, die nicht richtig ausgeschaltet werden, sondern stattdessen in den Energiesparmodus (Energiesparmodus) wechseln, einen niedrigen Batteriestand erkennen und einschalten, um in den Tiefschlafmodus zu wechseln?

Finden Sie im Grunde heraus, welches Gerät (sollte einfach sein, Sie haben MACs und IPs, sodass Sie entweder anhand der Dokumentation nachsehen können, um welchen PC es sich handelt, oder mithilfe des Routers herausfinden können, um welches Gerät es sich handelt). Dann recherchieren Sie weiter von diesen letzten Geräten. (Bei einem Windows-Computer versuchen powercfg lastwake).

— Hennes
quelle

Außer dass ich kürzlich erfahren habe, dass MAC-Adressen geändert werden können. Comcast tut dies häufig auf ihren Routern / Modems.

— DocSalvager

MAC-Adressen werden normalerweise in das NIC-ROM eingebaut. Viele Netzwerkkarten kopieren dies in ihren Arbeitsbereich, sodass Sie dies ändern können. Wenn es jedoch geändert wird, ist es Aufgabe der Person, die es ändert, um 100% ig sicherzustellen, dass es im LAN eindeutig ist. Dies ist nur möglich, wenn Sie alle [potenziellen] Geräte in diesem LAN steuern. Da dies keinen Vorteil bietet und nur potenzielle Probleme verursacht, gibt es keinen guten Grund, jemals einen MAC zu ändern.

— Hennes

Vielleicht sollte ich keinen "keinen guten Grund" erweitern. Es gibt zwei Ausnahmen: ARP-Vergiftungsangriffe (als Angreifer) und Kabelmodems vor einigen Jahrzehnten ISPs unterstützten nur einen einzigen PC pro Kabelmodem. Dazu wurde nur der Zugriff von einem einzigen MAC aus zugelassen. Soweit ich weiß, wurde dies in den letzten Jahrzehnten nicht verwendet, daher stammen alle Problemumgehungen wahrscheinlich aus veralteten Anleitungen. Bei Comcasts ändern sie ihren MAC oder ihr Gerät (einschließlich des MAC). Letzteres scheint wahrscheinlicher zu sein und kann auf einen gewissen Lastausgleich zurückzuführen sein.

— Hennes