태그 보관물: logfiles

logfiles

DHCPD 로그는 라우터가 꺼 졌을 때 PC가 요청한 IP 주소를 보여줍니다. 로그 파일이 올바르지 않습니까? 06:50:58 DHCPD

소규모 사무실이 있고 라우터 로그를 확인한 결과 업무 시간 외에 여러 컴퓨터가 사무실 라우터에서 IP 주소를 요청한 것으로 나타났습니다.

이것은 로그 파일 출력입니다.

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

직원은 작업이 끝나면 컴퓨터를 끕니다. 기록 된 MAC 주소 중 2 개를 제외한 모든 MAC 주소가 사무실의 컴퓨터에 속한다는 것을 확인했습니다.

최근 보안 위반이 발생했습니다. 라우터, 모든 관리자 비밀번호 및 WiFi 비밀번호를 재설정합니다.

이러한 컴퓨터가 업무 시간 외의 전원을 켜고 네트워크 외부의 사람들이 액세스 할 수 있습니까?



답변

첫 번째 질문을합니다.

이 컴퓨터들이 스스로 돌릴 수 있을까요?…

그렇습니다. 컴퓨터는 스스로 전원을 켜고 오랜 시간 동안이 기능을 사용할 수 있습니다. IBM 호환 PC의 경우 ATX PSU를 얻었으므로 이는 정상입니다. (1995 년 이후). 메인 보드 펌웨어 (일명 BIOS 또는 UEFI)로 이동하면 종종이를 구성하는 옵션이 있습니다. 오래된 PC가 있고 사무실에 오기 전에 전원을 켜고 부팅하려는 경우 매우 유용합니다.


질문의 두 번째 부분

… 우리 네트워크 외부의 사람들이 스스로 접근 할 수있게합니까?

첫 번째 부분과 독립적입니다. 컴퓨터의 전원을 켤 때 (전원을 켰는 지 또는 전원 버튼을 눌렀는지에 관계없이) 문제가 발생하는 경우입니다. 이 경우 보안 위반이 아직 수정되지 않았습니다.


마지막으로 MAC 주소가 있으면 처음 3 바이트를 볼 수 있습니다. IP를 요청하는 네트워크 카드를 만든 제조업체를 알려줍니다. 이렇게하면 소스를 식별하는 데 도움이됩니다 (예 : 프린터 또는 모바일 (개인용) 전화의 DHCP 요구 사항 만…)

귀하의 게시물에서 주소를 찾았습니다.

시작 F8:0F:41또는 시작하는 MAC 주소 98:EE:CBWistron InfoComm에 속합니다 . Wikipedia에 따르면이 회사는 태블릿, 휴대 전화 및 Chrome OS를 실행하는 기타 기기를 만듭니다 .

MAC 주소 64:EB:8C는 Seiko Epson Corporation에 속합니다. 프린터 일 수 있습니다 (다시 말해 프린터는 사무실에 자체 IP 범위가 있지만 DHCP 서버에 예약 된 MAC → IP가있을 수 있음).

로 시작하는 MAC 주소 4C:A1:61는 Rain Bird Corporation에 속합니다. 내가 그 이름을 검색했을 때마다 스프링클러 회사가되었습니다.


드디어:

로그 파일이 올바르지 않습니까?

의심 스럽다. IP 정보를 요청하는 것 같습니다. 기록 중입니다. 로깅에 결함이 없습니다. 더 큰 문제는 그들이 근무 외 시간에 왜 그렇게 하는가? 하루 종일 전원이 공급되는 잔디 스프링클러 시스템이 있습니까 (아마 24/7 일 예정입니까)? 전원이 꺼지지 않고 절전 모드로 전환되는 프린터가 있습니까? 제대로 꺼지지 않지만 저전력 (절전 모드) 모드로 전환되고 배터리 부족을 감지하고 전원을 켜서 절전 모드로 전환하는 랩톱 또는 PC가 있습니까?

기본적으로 어떤 장치를 찾으십시오 (MAC 및 IP를 보유한 것이 쉬워야하므로 설명서를 사용하여 어떤 PC인지 찾아 보거나 라우터를 사용하여 어떤 장치인지 알아낼 수 있습니다). 그런 다음 마지막 장치에서 더 연구하십시오. (Windows 컴퓨터의 경우 powercfg lastwake)를 시도 하십시오.


답변