8

У нас небольшой офис, и при проверке журналов маршрутизатора я заметил, что некоторые компьютеры запрашивают IP-адрес у офисного маршрутизатора в нерабочее время.

Это вывод файла журнала:

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

Сотрудники выключают свои компьютеры по окончании работы. Я подтвердил, что все зарегистрированные MAC-адреса, кроме двух, принадлежат компьютерам в нашем офисе.

Недавно у нас было нарушение безопасности. Сбрасываем роутер, все пароли администратора и пароли WiFi.

Возможно ли, чтобы эти компьютеры включали себя в нерабочее время и делали себя доступными для людей за пределами нашей сети?

1 ответ1

7

Задайте первый вопрос:

Возможно ли, что эти компьютеры вращаются сами…

Да, компьютеры могут сами включаться и уже давно имеют такую возможность. Для IBM-совместимых ПК это нормально, так как они получили блоки питания ATX. (С 1995 года). Если вы переходите к прошивке материнских плат (иначе BIOS или UEFI), у вас часто есть возможность настроить это. Очень полезно, если у вас есть старый компьютер и вы хотите, чтобы он включился и загрузился до того, как вы попали в офис.


Вторая часть вашего вопроса

... и сделать себя доступным для людей за пределами нашей сети?

не зависит от первой части. Если это происходит при включении компьютеров (независимо от того, включены они самостоятельно или нажатием кнопки питания), у вас возникла проблема. Если это так, то нарушение безопасности еще не устранено.


Наконец, если у вас есть MAC-адрес, вы можете просмотреть первые три байта. Они скажут вам, какие производители сделали сетевую карту, которая запрашивает IP. Это может помочь идентифицировать источник (например, только запросы DHCP с принтеров или с мобильного (личного?) телефоны ...

Я посмотрел адреса в вашем посте:

MAC-адреса, начинающиеся с F8:0F:41 или с 98:EE:CB принадлежат Wistron InfoComm. Согласно Википедии, эта фирма производит планшеты, мобильные телефоны и другие устройства под управлением Chrome OS.

MAC-адреса, начинающиеся с 64:EB:8C принадлежат Seiko Epson Corporation. Это могут быть принтеры (опять же, принтеры, вероятно, имеют собственный диапазон IP-адресов в офисе, хотя, возможно, с зарезервированным MAC-адресом → IP-адрес на DHCP-сервере).

MAC-адреса, начинающиеся с 4C:A1:61 принадлежат Rain Bird Corporation. Каждый поиск, который я проводил по этому имени, приводил к появлению спринклерной фирмы.


В заключение:

Наши лог-файлы неверны?

Я сомневаюсь, что. Кажется, что-то запрашивает информацию об IP. Это регистрируется. Нет ошибок в регистрации. Большая проблема в том, почему они делают это в нерабочее время? Существует ли спринклерная система для газонов, которая включена весь день (и которая, вероятно, должна быть включена круглосуточно)? Есть ли принтеры, которые не выключены, а вместо этого переходят в спящий режим? Существуют ли ноутбуки или ПК, которые не отключаются должным образом, но вместо этого переходят в режим пониженного энергопотребления (спит?) режим, определить низкий заряд батареи и включить питание, чтобы перейти в режим глубокого сна?

По сути, выясните, какое устройство (должно быть легко, у вас есть MAC-адреса и IP-адреса, так что вы можете либо использовать документацию для поиска того, что это за ПК, либо использовать маршрутизатор, чтобы узнать, какое это устройство). Затем исследуйте дальше от последних устройств. (В случае компьютера с Windows попробуйте powercfg lastwake).

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .