Интерпретация журналов безопасности беспроводного маршрутизатора Netgear

Question

У меня есть двухдиапазонный гигабитный маршрутизатор Wireless-N NetGear RangeMax, номер модели WNDR3700.
Он работал нормально, но недавно я вошел в него, указав моему веб-браузеру 192.168.1.1 и введя свое имя пользователя и пароль.

Я взглянул на журналы безопасности и заметил несколько записей вроде:

[LAN access from remote] from 58.218.199.147:12200 to 192.168.1.2:8085, Wednesday, September 14,2011 18:00:40
[LAN access from remote] from 221.194.46.176:12200 to 192.168.1.2:8085, Wednesday, September 14,2011 12:34:00
[LAN access from remote] from 31.7.59.152:12200 to 192.168.1.2:8085, Friday, September 09,2011 22:43:25
[LAN access from remote] from 68.4.59.247:46048 to 192.168.1.91:59850, Friday, September 09,2011 22:07:16
[LAN access from remote] from 72.152.89.147:52115 to 192.168.1.91:59850, Friday, September 09,2011 21:45:59

Журнал полон других записей, как это тоже.

Означает ли это, что был предпринят доступ к локальной сети или что доступ к локальной сети был успешным?

Должен ли я быть обеспокоен? Если так, что мне теперь делать?

Answer 1

На всякий случай вы должны следовать инструкциям, чтобы убедиться, что ваш маршрутизатор защищен, чтобы предотвратить возможный доступ в будущем, даже если это окажется неудачной попыткой. Особенно, если у вас был слабый пароль.

Одним из важных является отключение удаленного администрирования и требует только физического подключения для администрирования. Затем выполните дополнительные действия, чтобы убедиться, что он настроен надежно.

Увидеть:

Безопасная настройка домашней беспроводной сети

Что касается вашего реального вопроса, если это попытка или успех, я полагаю, что будет сложнее диагностировать для тех, кто не очень знаком с подробным ведением журнала Netgear.

Если вы хотите быть параноиком, я бы посоветовал вам сбросить настройки маршрутизатора до заводских настроек по умолчанию, обновить прошивку и настроить ее максимально надежно.

Answer 2

Согласно форуму Netgear, если у вас есть торрент или ряд других допустимых приложений, вы можете увидеть трафик, как это. Смотрите здесь

Answer 3

[Доступ по локальной сети удаленно] запускается каждый раз, когда внешнее соединение маршрутизируется во внутреннюю сеть через перенаправленный порт. Это может быть либо явный (то есть: определенный порт или диапазон портов, заданный с помощью переадресации / запуска портов), либо автоматический (то есть: UPNP) маршрут. В большинстве случаев это сообщение указывает на успех, но если у вас недопустимые правила переадресации портов, это сообщение все равно будет отображаться, даже если соединение не было успешным.

Использование приложения P2P, такого как Bittorrent или Skype, приведет к появлению многих из этих журналов, если у вас включен UPNP - это нормально.

Если у вас есть общие перенаправленные порты, вы увидите журналы от сканеров портов.

Answer 4

В моем случае тоже эти логи были вызваны скайпом. Из документов Skype:

Когда вы устанавливаете Skype, порт выше 1024 выбирается случайным образом в качестве порта для входящих подключений.

Это объясняет, почему я не смог найти ничего о порте в Google!

Полная статья о Skype здесь: https://support.skype.com/en/faq/FA148/which-ports-need-to-be-open-to-use-skype-for-windows-desktop

Answer 5

Попробуйте получить такой инструмент, как TCPView, и проверьте, какая программа использует соответствующий локальный порт (8085 и 59850 в ваших журналах выше).

В моем случае, всякий раз, когда я видел эти удаленные подключения, Skype использовал локальный порт, что, я полагаю, имеет смысл, так как Skype использует P2P-соединения с другими клиентами Skype.