DHCPD 로그는 라우터가 꺼 졌을 때 PC가 요청한 IP 주소를 보여줍니다. 로그 파일이 올바르지 않습니까?

7

소규모 사무실이 있고 라우터 로그를 확인한 결과 업무 시간 외에 여러 컴퓨터가 사무실 라우터에서 IP 주소를 요청한 것으로 나타났습니다.

이것은 로그 파일 출력입니다.

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

직원은 작업이 끝나면 컴퓨터를 끕니다. 기록 된 MAC 주소 중 2 개를 제외한 모든 MAC 주소가 사무실의 컴퓨터에 속한다는 것을 확인했습니다.

최근 보안 위반이 발생했습니다. 라우터, 모든 관리자 비밀번호 및 WiFi 비밀번호를 재설정합니다.

이러한 컴퓨터가 업무 시간 외의 전원을 켜고 네트워크 외부의 사람들이 액세스 할 수 있습니까?

networking  security  dhcp  logfiles 
블루 피
소스

답변:

7

첫 번째 질문을합니다.

이 컴퓨터들이 스스로 돌릴 수 있을까요?…

그렇습니다. 컴퓨터는 스스로 전원을 켜고 오랜 시간 동안이 기능을 사용할 수 있습니다. IBM 호환 PC의 경우 ATX PSU를 얻었으므로 이는 정상입니다. (1995 년 이후). 메인 보드 펌웨어 (일명 BIOS 또는 UEFI)로 이동하면 종종이를 구성하는 옵션이 있습니다. 오래된 PC가 있고 사무실에 오기 전에 전원을 켜고 부팅하려는 경우 매우 유용합니다.

질문의 두 번째 부분

… 우리 네트워크 외부의 사람들이 스스로 접근 할 수있게합니까?

첫 번째 부분과 독립적입니다. 컴퓨터의 전원을 켤 때 (전원을 켰는 지 또는 전원 버튼을 눌렀는지에 관계없이) 문제가 발생하는 경우입니다. 이 경우 보안 위반이 아직 수정되지 않았습니다.

마지막으로 MAC 주소가 있으면 처음 3 바이트를 볼 수 있습니다. IP를 요청하는 네트워크 카드를 만든 제조업체를 알려줍니다. 이렇게하면 소스를 식별하는 데 도움이됩니다 (예 : 프린터 또는 모바일 (개인용) 전화의 DHCP 요구 사항 만…)

귀하의 게시물에서 주소를 찾았습니다.

시작 F8:0F:41또는 시작하는 MAC 주소 98:EE:CBWistron InfoComm에 속합니다 . Wikipedia에 따르면이 회사는 태블릿, 휴대 전화 및 Chrome OS를 실행하는 기타 기기를 만듭니다 .

MAC 주소 64:EB:8C는 Seiko Epson Corporation에 속합니다. 프린터 일 수 있습니다 (다시 말해 프린터는 사무실에 자체 IP 범위가 있지만 DHCP 서버에 예약 된 MAC → IP가있을 수 있음).

로 시작하는 MAC 주소 4C:A1:61는 Rain Bird Corporation에 속합니다. 내가 그 이름을 검색했을 때마다 스프링클러 회사가되었습니다.

드디어:

로그 파일이 올바르지 않습니까?

의심 스럽다. IP 정보를 요청하는 것 같습니다. 기록 중입니다. 로깅에 결함이 없습니다. 더 큰 문제는 그들이 근무 외 시간에 왜 그렇게 하는가? 하루 종일 전원이 공급되는 잔디 스프링클러 시스템이 있습니까 (아마 24/7 일 예정입니까)? 전원이 꺼지지 않고 절전 모드로 전환되는 프린터가 있습니까? 제대로 꺼지지 않지만 저전력 (절전 모드) 모드로 전환되고 배터리 부족을 감지하고 전원을 켜서 절전 모드로 전환하는 랩톱 또는 PC가 있습니까?

기본적으로 어떤 장치를 찾으십시오 (MAC 및 IP를 보유한 것이 쉬워야하므로 설명서를 사용하여 어떤 PC인지 찾아 보거나 라우터를 사용하여 어떤 장치인지 알아낼 수 있습니다). 그런 다음 마지막 장치에서 더 연구하십시오. (Windows 컴퓨터의 경우 powercfg lastwake)를 시도 하십시오.

헤 네스
소스
최근에 MAC 주소를 변경할 수 있다는 것을 배웠습니다. Comcast는 라우터 / 모뎀에서이 작업을 자주 수행합니다.
DocSalvager
MAC 주소는 일반적으로 NIC ROM에 빌드됩니다. 많은 NIC가이 공간에서 작업 공간으로 복사하여 변경할 수 있습니다. 그러나 변경되면 LAN에서 고유한지 100 % 확인하기 위해 변경하는 사람이됩니다. 해당 LAN에서 모든 [잠재적] 장치를 제어하는 ​​경우에만 수행 할 수 있습니다. 이 방법은 장점이없고 잠재적 인 문제 만 발생하므로 MAC을 변경할 이유가 없습니다.
Hennes
어쩌면 나는 '좋은 이유가 없습니다'를 확장해서는 안됩니다. 예외적으로 ARP 중독 공격 (공격자)과 수십 년 전에 케이블 모뎀 ISP는 케이블 모뎀 당 하나의 PC 만 지원했습니다. 이는 단일 MAC의 액세스 만 허용하여 수행되었습니다. 내가 아는 것처럼 fgar는 지난 수십 년 동안 사용되지 않았으므로 이에 대한 해결 방법은 오래된 가이드에서 얻은 것일 수 있습니다. comcast는 MAC 또는 장치 (MAC 포함)를 변경하고 있습니까? 후자는 더 가능성이 높으며 일부로드 밸런싱으로 인한 것일 수 있습니다.
Hennes
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.