Ryzyko wewnętrznego korzystania z nieprywatnych adresów IP?

20

Moja firma otrzymała dużą maszynę przemysłową z wieloma urządzeniami sieciowymi. Niestety odpowiedzialny inżynier użył publicznego zakresu adresów IP na maszynie. Jestem w europie Wybrany zakres adresów należy do firmy w USA. Powiedzmy, że to 143.166.0.0 (która faktycznie należy do Dell).

Załóżmy, że nie podłączam komputera do sieci LAN naszej firmy (na razie), ale podłączam do niego laptopa, aby zaprogramować urządzenie - na przykład 143.166.0.1. Powiedzmy również, że moja bezprzewodowa karta sieciowa laptopa jest podłączona do firmowej sieci LAN, a tym samym do Internetu. Teraz mam dwie możliwe trasy do dwóch urządzeń, które mają wspólny adres. Lokalny, którego chcę i adres Dell.

Moje pytanie brzmi: „Jak bardzo powinienem się martwić?” Co powinno i by się stało w tym przypadku? Domyślam się, że lokalna maszyna zareaguje pierwsza i że może mi się to wydarzyć, ale w końcu zostanę ugryziony. Nawiasem mówiąc, widziałem publiczne adresy IP również na innych komputerach. Wygląda na to, że inżynierowie albo nie rozumieją prywatnego adresowania, albo nie oczekują, że ich maszyna zostanie podłączona do szerszego świata.

Wszelkie pomysły / komentarze? (które nie wiążą się z przemocą wobec inżyniera maszyn)?

Epilog

Znaleźliśmy interesujący problem, który zmusił nas do zmiany adresów IP na prywatne.

  • Jedno z urządzeń na komputerze jest programowane przez Internet Explorer za pomocą komponentu ActiveX. To urządzenie spróbuje przesłać dane do „nasłuchu” ActiveX (zamiast zwykłego trybu przeglądarki, w którym żądane są dane ze zdalnego serwera).
  • Nasza konfiguracja Active Directory pobiera zasady bezpieczeństwa na nasze komputery podczas logowania. Polityka zawiera listę zaufanych witryn. Obejmują one:
    • Zatwierdzone adresy firmowe.
    • Różne adresy zewnętrzne, takie jak nasz bank.
    • Adresy prywatne 192.168.0.0/16, 172.16.0.0/20 i 10.0.0.0/24.
    • Cała reszta jest zablokowana.
  • Ze względu na zasady bezpieczeństwa składnik ActiveX nigdy nie otrzymał żadnych danych, ponieważ ruch przychodzący jest blokowany przez zasady bezpieczeństwa!

Zmusiło mnie to do zmiany adresu dostawcy na 172.16.0.0. Będę spać łatwiej.

Dziękuję za zainteresowanie.

routing  ipv4 
Tranzystor
źródło

Odpowiedzi:

21

Krótka odpowiedź: powielanie przydzielonych adresów publicznych to zły pomysł.

Nieco dłuższa odpowiedź: pomijając na chwilę problemy z routingiem, nie jest bezpiecznie zakładać, że nigdy nie będziesz musiał dotrzeć do tego komputera z miejsca innego niż bezpośrednio podłączony kabel lub że przydziały adresów publicznych lub prywatnych są stałe i nigdy się nie zmienią .

Problemy z dostępem zdalnym są oczywiste: globalny Internet uważa, że ​​143.166 / 16 jest w jednym miejscu, a Ty chcesz, aby był w innym. Routery nie pójdą na twój komputer.

I własność może się zmienić. Nawet jeśli ten adres nie został przypisany do firmy Dell, może zostać mu przydzielony w przyszłości. Dell ma dziś ten adres, ale jutro ktoś inny może wybrać inną drogę. Kto wie? Twoja organizacja może nawet kupić ten blok adresów, oferując jeszcze więcej przygód z routingiem.

Konkluzja: Nie zakładaj, że zduplikowane adresy IP można bezpiecznie odgrodzić na zawsze.

Jeśli chodzi o routing, interfejs przewodowy wolałby adres lokalny niż Dell. Twój przewodowy interfejs wysyła żądanie ARP dla tego adresu i pobiera je bezpośrednio z maszyny przemysłowej, nie wymaga bramy. Następnie pakiety przeznaczone na ten adres będą używać docelowego adresu MAC maszyny przemysłowej.

Działa to dobrze, ponieważ używasz tylko kabla do dostępu i tak długo, jak nigdy nie musisz docierać do tego komputera z innego miejsca, i dopóki globalna tabela routingu pozostaje statyczna.

To dużo ifs. Lepiej uniknij tego problemu, używając unikalnego adresu publicznego lub czegoś z prywatnej puli adresów.

użytkownik8162
źródło
Macie rację - przepraszam, nie rozumiałem, że to przestrzeń kogoś innego. Dzięki.
Pseudocyber
12

Jedynym problemem będzie niemożność rozmowy z prawdziwymi maszynami (internetowymi) z tymi adresami. Oczywiście możesz umieścić zaporę ogniową („nat box”) między swoją siecią a tym, aby wyglądała ona jak prywatny adres do twojej sieci.

Tego rodzaju rzeczy pojawiły się wszędzie od wielu lat, ponieważ ludzie byli leniwi i używali „nieprzypisanych” adresów do własnych celów; teraz, kiedy są przydzielone, stanowi mały problem.

[Edytuj: dla przypomnienia, nigdy nie zmieniłem numeracji mojej sieci domowej. ale prawdopodobnie nigdy nie będę musiał rozmawiać z ludźmi, którzy mają teraz tę przestrzeń adresową. 15 lat i wciąż rośnie ...]

Ricky Beam
źródło
5
+1, dodam, że rozmiar problemu zależy od tego, jak daleko pozwalasz tym adresom dostać się do twojego IGP i ile tych adresów przecieka do reszty twojej firmy. Niestety, zanim tu przybyłem, ktoś dodał duże fragmenty bloków klasy A AT&T w całym naszym IGP.
Mike Pennington,
8

Moje pytanie brzmi: „Jak bardzo powinienem się martwić?” Co powinno i by się stało w tym przypadku? Domyślam się, że lokalna maszyna zareaguje pierwsza i że może mi się to wydarzyć, ale w końcu zostanę ugryziony.

Na marginesie, nie chodzi o to, kto pierwszy odpowie. Jeśli podasz komputerowi adres w tej samej podsieci, ruch będzie kierowany bezpośrednio do maszyny, bez żadnych routerów.

Nawet jeśli użyjesz routingu, wprowadzając trasę do 143.166.0.0/16 na niektórych routerach wewnętrznych w sieci, wolą tę trasę od (domyślnej?) Trasy do Internetu. Dzieje się tak, ponieważ preferowane jest „najdłuższe dopasowanie prefiksu”, tj. wybierana jest najbardziej konkretna trasa.

Jeśli masz poprawne wyniki netto, 143.166.0.0/16 część Internetu będzie niedostępna dla Ciebie lub Twojej sieci, jeśli zainstalujesz trasę w wewnętrznych routerach. / 16 wydaje się nieco duży dla tego problemu, im mniejsza podsieć, do której kierujesz, tym mniejsza szansa na ugryzienie.

Gerben
źródło
0

Poniżej znajduje się moja zredagowana odpowiedź - która pierwotnie nie otrzymała tego, że nie była to „własność” przestrzeni IP, ale miejsce innej osoby.

Dopóki jest to twoja przestrzeń, nie ma to znaczenia. Adres IP to adres IP. Twoje aplikacje nie wiedzą, co jest prywatne, a co publiczne. Jeśli masz miejsce, możesz mieć nawet niektóre podsieci, które są „wewnętrzne”, a niektóre są „zewnętrznie” dostępne - sterowane zwykłymi kontrolkami routingu, zaporami ogniowymi itp.

Cała przestrzeń publiczna wewnątrz oznacza, że ​​nie musisz się martwić NATem, aby wejść lub wyjść z sieci.

Jeśli NIE jest to Twoja własna przestrzeń IP, ale czyjaś własna, może to technicznie zadziałać. Jednak nigdy nie będziesz w stanie dotrzeć do ich przestrzeni bez większego wysiłku i konfiguracji - takich jak tunelowanie, NAT lub podwójny NAT lub bardziej szczegółowy routing. Najlepiej byłoby zasugerować ponowne adresowanie sieci, na piśmie, i szczegółowo, jak to zrobić, jak można nią zarządzać itp. Zdobądź na piśmie, a jeśli kiedykolwiek pojawią się problemy, możesz wyciągnąć swoje „Powiedziałem ci tak e-mailem „.

Poniższe głosy poniżej pochodziły z mojej pierwotnej odpowiedzi, w której źle odczytałem pytanie.

Dziękuję wszystkim.

Pseudocyber
źródło
Przykro mi, ale muszę to głosować w dół, chociaż możesz użyć cudzej przestrzeni adresowej, nie jest to tak proste, jak mówisz.
Mike Pennington,
Oddaj głos ode mnie za „to nie ma znaczenia. To może nie mieć teraz znaczenia, ale ostatecznie ukąsi kogoś, kiedy najmniej się spodziewam.
generalnetworkerror
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.