Acabamos de instalar un SonicWALL NSA 3500 y noté que algunas veces al día habrá una entrada de alerta como esta:
Hora: 01/02/2013 9: 00: 41.000
Prioridad: Alerta
Categoría: Prevención de intrusiones
Mensaje: IP spoof dropeada
Fuente: 173.115.237.234, 123, X0 (Mi nota: nslookup me dice que pertenece a alguna red Sprint / PCS, pero la interfaz X0 es nuestra interfaz orientada a LAN. I También vea 10.0.0.4 aquí a veces con la misma dirección MAC, y no tenemos una red 10.0.0.0. ¡Siempre es la misma dirección MAC!)
Destino: 192.168.x.x, 123, X0 (Mi nota: Esto se muestra como algunos de los IP de nuestros servidores internos)
Notas: Dirección MAC: 00: b0: d0: 74: 13: 74 (Mi nota: parece ser una dirección MAC de Dell, pero no coincide con ninguna de nuestras Computadoras Dell en archivo)
Cuando ejecuto un "arp -a | findstr 74-13-74" en mi PC con Windows no muestro esa dirección MAC en mi tabla ARP.
¿Hay alguna manera de poder rastrear qué es esto? ¿Usamos el SSL-VPN de SonicWALL para hacer un túnel en la interfaz X0, tal vez alguien usa una tarjeta aérea Sprint y algo está mal? Tal vez tenemos algún dispositivo malicioso en alguna parte? Estoy muy abierto a las sugerencias, esto me está desconcertando.