I registri DHCPD mostrano gli indirizzi IP richiesti dal PC dal router quando sono spenti. I nostri file di registro sono errati?

Abbiamo un piccolo ufficio e, controllando i registri del router, ho notato che diversi computer hanno richiesto l'indirizzo IP dal router dell'ufficio al di fuori dell'orario di lavoro.

Questo è l'output del file di registro:

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

I dipendenti spengono i computer al termine del lavoro. Ho confermato che tutti gli indirizzi MAC registrati tranne due appartengono ai computer del nostro ufficio.

Di recente abbiamo avuto una violazione della sicurezza. Ripristiniamo il router, tutte le password dell'amministratore e le password WiFi.

È possibile che questi computer possano accendersi al di fuori dell'orario di lavoro e rendersi accessibili alle persone al di fuori della nostra rete?

— bloopiebloopie
fonte

Chiedi la prima domanda:

È possibile che questi computer si stiano trasformando da soli ...

Sì, i computer possono accendersi e avere questa capacità per anni. Per i PC compatibili IBM questo è normale dato che hanno ricevuto un alimentatore ATX. (Circa dal 1995). Se vai al firmware delle schede madri (aka BIOS o UEFI) spesso hai un'opzione per configurarlo. Molto utile se si dispone di un vecchio PC e si desidera che si accenda e si avvii prima di arrivare in ufficio.

La seconda parte della tua domanda

... e rendersi accessibili alle persone al di fuori della nostra rete?

è indipendente dalla prima parte. Se ciò accade quando i computer si accendono (indipendentemente dal fatto che si siano accesi da soli o premendo il pulsante di accensione), si verifica un problema. In tal caso, la violazione della sicurezza non è stata ancora risolta.

Infine, se hai l'indirizzo MAC, puoi guardare ai primi tre byte. Ti diranno quali produttori hanno creato la scheda di rete che richiede l'IP. Questo può aiutare a identificare l'origine (ad esempio solo le richieste DHCP da stampanti o da telefoni mobili (personali?) ...

Ho cercato gli indirizzi nel tuo post:

Gli indirizzi MAC che iniziano con F8:0F:41o con 98:EE:CBappartengono a Wistron InfoComm . Secondo Wikipedia, questa azienda produce tablet, telefoni cellulari e altri dispositivi con Chrome OS .

Gli indirizzi MAC che iniziano con 64:EB:8Cappartengono a Seiko Epson Corporation. Potrebbero essere stampanti (anche in questo caso, le stampanti probabilmente hanno il proprio intervallo IP in un ufficio, sebbene possibilmente con un MAC → IP riservato sul server DHCP).

Gli indirizzi MAC che iniziano con 4C:A1:61appartengono a Rain Bird Corporation. Ogni ricerca che ho fatto con quel nome ha portato a un'azienda di irrigazione.

Finalmente:

I nostri file di registro sono errati?

Ne dubito. Qualcosa sembra richiedere informazioni IP. Questo è in fase di registrazione. Nessun errore nella registrazione. Il problema più grande è perché lo fanno fuori dagli orari di ufficio? Esiste un sistema di irrigazione del prato che è acceso tutto il giorno (e che probabilmente dovrebbe essere attivo 24 ore su 24, 7 giorni su 7)? Ci sono stampanti che non sono spente ma invece passano in modalità sospensione? Esistono laptop o PC che non si spengono correttamente ma che passano invece a una modalità di risparmio energetico (sospensione?), Rilevano la batteria scarica e si accendono per passare a una modalità di sospensione profonda?

Fondamentalmente, scopri quale dispositivo (dovrebbe essere facile, hai MAC e IP, quindi puoi utilizzare la documentazione per cercare quali PC è o utilizzare il router per scoprire quale dispositivo è). Quindi ricerca ulteriormente da questi ultimi dispositivi. (Nel caso di un computer Windows, provare powercfg lastwake).

— Hennes
fonte

Solo che ho appreso di recente che gli indirizzi MAC possono essere modificati. Comcast lo fa frequentemente sul proprio router / modem.

— DocSalvager,

Gli indirizzi MAC di solito sono integrati nella ROM delle schede di rete. Molte schede di rete copiano da questo nel loro spazio di lavoro, permettendoti di cambiarlo. Ma se viene modificato, diventa il lavoro della persona che lo cambia per assicurarsi al 100% che sia univoco sulla LAN. Cosa che puoi fare solo se controlli tutti i [potenziali] dispositivi su quella LAN. Poiché ciò non offre alcun vantaggio e crea solo potenziali problemi, non vi è alcuna buona ragione per cambiare mai un MAC.

— Hennes,

Forse non dovrei ampliare "nessuna buona ragione". Esistono due eccezioni: gli attacchi di avvelenamento ARP (come l'attaccante) e alcuni decenni fa i modem via cavo ISP supportavano solo un singolo PC per modem via cavo. Ciò è stato fatto consentendo l'accesso solo da un singolo MAC. Per quanto ne so, questo non è stato usato negli ultimi decenni, quindi eventuali soluzioni alternative provengono probabilmente da guide obsolete. Per quanto riguarda comcast, stanno cambiando il loro MAC o il loro dispositivo (incluso il suo MAC). Quest'ultimo sembra più probabile e potrebbe essere dovuto ad un certo bilanciamento del carico.

— Hennes,