192.168.1.x bardziej użyteczny?

24

Nasza firma usług informatycznych proponuje rekonfigurację sieci, aby wewnętrznie korzystać z zakresu adresów IP 10.10.150.1 - 10.10.150.254, ponieważ podają, że obecny schemat adresów IP z domyślnymi ustawieniami producenta 192.168.1.x „ułatwia wykorzystanie”.

Czy to prawda? W jaki sposób znajomość / brak znajomości wewnętrznego schematu IP czyni sieć bardziej użyteczną? Wszystkie systemy wewnętrzne znajdują się za SonicWall NAT i routerem firewall.

networking tcpip hacking Michael Glenn
źródło
Pomyślałem, że dodam to pytanie: serverfault.com/questions/33810 / ... Wygląda na to, że wskazuje to pewne problemy, które możesz mieć, gdybyś wybrał tę drogę.
Joshua Nurczyk
23
Jeśli nie masz umowy NDA z firmą świadczącą usługi IT, możesz je nazwać i zawstydzić? Wtedy wszyscy tutaj mogą ich ominąć z powodu braku wskazówek i chęci stworzenia płatnego dzieła, które nic nie da
goo
Zwolnij ich, bo

Odpowiedzi:

55

W najlepszym wypadku doda to bardzo cienką warstwę „bezpieczeństwa przez zaciemnienie”, ponieważ 192.168.xy jest znacznie częściej używanym adresem sieciowym dla sieci prywatnych, ale aby korzystać z adresów wewnętrznych, źli chłopcy muszą już być w twojej sieci , i tylko najbardziej głupie narzędzia ataku zostaną oszukane przez „niestandardowy” schemat adresów.

Wdrożenie tego nie kosztuje prawie nic, a w zamian oferuje prawie nic.

Sven
źródło
7
+1 za „nic nie kosztuje prawie nic”. Chciałbym zapytać, czy taka zmiana nie byłaby bardziej uciążliwa dla $$ $$ niż jej wartości, ale jeśli NAPRAWDĘ, NAPRAWDĘ zaniepokojony ... skorzystaj z niestandardowego zakresu adresów IP. Pamiętaj tylko, aby zmienić domyślne hasła i porty routera ... bo w przeciwnym razie jest to po prostu zawstydzające. uśmiech
KPWINC
23
W zależności od wielkości twojej sieci twierdzę, że koszt jest znacznie większy niż nic. Jeśli naprawdę chcesz upiec konsultanta, powiedz mu, że uważasz, że przewidywalność jest podstawą bezpieczeństwa informacji, a wdrożenie tej zmiany sprawi, że sieć będzie mniej bezpieczna, ponieważ będzie wymagać zmiany wielu list kontroli dostępu i innych technicznych kontroli bezpieczeństwa .
dr.pooter
1
Zgadzam się z dr.pooter w tej sprawie. Jest to bardzo duża zmiana w twojej infrastrukturze, bez cholernej realnej korzyści. W środowisku średniej wielkości i wyższym logistyka (i ryzyko) tego wywołują wrzody.
Scott Pack
1
Kolejna umowa. Zmiana „nic nie kosztuje” w sieci całkowicie DHCP, która nie wymaga statycznych adresów IP (zwykle oznacza brak serwerów w sieci). W przeciwnym razie kosztuje to bóle głowy i mnóstwo czasu.
Joshua Nurczyk
1
+1 uzgodnione. Byłbym ostrożny wobec każdego, kto dołoży wszelkich starań, aby wdrożyć coś wyłącznie w celu zapewnienia bezpieczeństwa przez zaciemnienie.
squillman
30

Brzmi dla mnie jak płatna praca.

Poza faktem, że wiele urządzeń konsumenckich korzysta z przestrzeni adresowej 192.168.xx (którą można wykorzystać, jak wszystko inne), nie sądzę, że naprawdę zmienia to krajobraz bezpieczeństwa sieci korporacyjnej. Rzeczy w środku są zamknięte, albo nie są.

Trzymaj swoje maszyny / urządzenia na aktualnym oprogramowaniu / oprogramowaniu, przestrzegaj najlepszych praktyk bezpieczeństwa sieci, a będziesz w dobrej formie.

Geoff Fritz
źródło
13
+1 za obserwację „fakturowanej pracy”. Ktoś musi opłacić dzierżawę za rok i wykazać się kreatywnością w zakresie propozycji klientów. =)
Wesley
+1 Tak, co powiedział
Nonapeptide
3
+1 - Być może następnie firma antywłamaniowa zasugeruje, abyś spróbował pomalować zewnętrzną stronę budynku w kolorach kamuflażu, aby odeprzeć włamywaczy! Bezpieczeństwo poprzez absurd ...
Evan Anderson
10

Wygląda na to, że Twoja firma IT chce dla mnie płatnej pracy.

Jedyny uzasadniony powód, dla którego mogę wymyślić, aby trzymać się z dala od podsieci 192.168.0.x lub 192.168.1.x, jest spowodowany prawdopodobnie nakładaniem się podsieci z klientami VPN. To nie jest niemożliwe do obejścia, ale dodaje komplikacji do konfigurowania VPN i diagnozowania problemów.

3dinfluence
źródło
1
Tak, to jest jedyny powód, dla którego zwykle wybieram dziwne sieci, takie jak 10.117.1.0/24, dla biur, w których mogą być połączeni użytkownicy VPN.
kashani
@kashani To rozsądna praktyka. Tak rozsądne, że jeśli chcesz używać adresów prywatnych w IPv6, w RFC 4193 jest nawet wymagane umieszczenie 40 losowych bitów w prefiksie.
kasperd 18.04.16
9

Dużą zaletą nieużywania adresowania 192.168.xx jest unikanie nakładania się na sieci domowe użytkowników. Podczas konfigurowania VPN jest o wiele bardziej przewidywalne, jeśli twoja sieć różni się od ich.

Cawflands
źródło
2
+1: Jest to jeden z dwóch dobrych powodów do zmiany (drugi wymaga więcej adresów w podsieci).
Richard
7

(pociąga nosem ... pociąga nosem) Czuję ... coś. Wygląda na to, że pochodzi z Twojej firmy IT. Pachnie jak ... baloney.

Przełączanie podsieci zapewnia w najlepszym razie ochronę. Ale reszta z was nie jest objęta ...

Dni wirusów zakodowanych na stałe już dawno minęły, a przekonasz się, że złośliwy kod jest wystarczająco „inteligentny”, aby spojrzeć na podsieć zainfekowanej maszyny i rozpocząć skanowanie.

Avery Payne
źródło
+1 za figleaf.
msanford
Pierwotnie zamierzałem powiedzieć „codpiece”, ale jakoś zabrzmiało to mocniej niż trzeba ...
Avery Payne
6

Powiedziałbym, że to nie jest bardziej bezpieczne. Jeśli włamią się do twojego routera, i tak pokaże im wewnętrzny zasięg.

Jack B Zwinny
źródło
3

Jak powiedziała inna osoba, dobrym powodem do zmiany z 192.168.1.x jest, jeśli używasz VPN z routerów domowych po stronie klienta. To jest powód, dla którego każda sieć, którą administruję, ma inną podsieć, ponieważ ja i moje maszyny klienckie robimy VPN.

dmoisan
źródło
2

Domyślam się, że niektóre skrypty exploitów routera drive-by są zakodowane na stałe, aby przejść do standardowego adresu homeroutera. Ich odpowiedzią jest „bezpieczeństwo przez zaciemnienie” ... z wyjątkiem tego, że nie jest to niejasne, ponieważ w zależności od sposobu działania skryptu prawdopodobnie ma on dostęp do adresu bramy.

Tom Ritter
źródło
2

To naprawdę miejska legenda.

W każdym razie ich rozumowanie może być następujące: załóżmy, że zakres 192.168.x.0 / 24 jest używany częściej. Być może następnym założeniem będzie, że gdyby na jednym z komputerów znajdował się złośliwy program, skanowałby zakres 192.168.x.0 / 24 w poszukiwaniu aktywnych komputerów. Pomiń fakt, że prawdopodobnie użyłby wbudowanego mechanizmu Windows do wykrywania sieci.

Znowu - brzmi dla mnie jak kult ładunków.

shylent
źródło
2

Domyślne ustawienia producenta są zawsze łatwiejsze do wykorzystania, ponieważ są to pierwsze opcje, które zostaną wypróbowane, ale zakres 10 jest również bardzo dobrze znanym zakresem prywatnym i - jeśli 192.168 nie działa - będzie następną wypróbowaną. Nazwałbym ich „bykiem”.

Maximus Minimus
źródło
2

Oba zakresy są adresami „prywatnymi” i równie dobrze znanymi. Poproś kogoś innego o opiekę nad Twoim IT.

Wiedza, jakiego zakresu adresów używasz wewnętrznie, nie ma absolutnie żadnej przewagi. Gdy ktoś ma dostęp do Twojej sieci wewnętrznej, może zobaczyć, jakich adresów używasz. Do tego momentu jest to równe pole gry.

John Gardeniers
źródło
1

Nie jestem facetem od sieci ... ale jako osoba z Linuksem nie widzę, żeby to miało jakikolwiek wpływ. Zamiana jednej wewnętrznej klasy C na drugą tak naprawdę nic nie robi. Jeśli jesteś w sieci, nadal będziesz mieć taki sam dostęp bez względu na adresy IP.

Może być niewielka różnica z perspektywy ludzi, którzy nie wiedzą, co robią, wprowadzając własne routery bezprzewodowe, które domyślnie miałyby wartość 192.168.0 / 32. Ale tak naprawdę nie jest już bardziej bezpieczny.

Alex
źródło
1

Wiele dzisiejszych zagrożeń pochodzi od wewnątrz przez nieostrożnych użytkowników wykonujących złośliwe oprogramowanie. Chociaż może nie zapewniać dużej ochrony, nie odrzuciłbym jej całkowicie jako miejskiej legendy.

Byłoby to nazywane bezpieczeństwem przez zaciemnienie, gdyby ochrona polegała wyłącznie na niejasności (jak na przykład umieszczenie tajnego dokumentu na publicznym serwerze WWW z „losową” nazwą folderu), to oczywiście nie jest tak.

Niektóre skrypty mogą być zakodowane na stałe w celu skanowania zakresu 192.168.1.xi rozprzestrzeniania własnej kopii. Innym praktycznym powodem jest to, że routery domowe są zazwyczaj skonfigurowane z tym zakresem, więc może powodować konflikt podczas konfiguracji VPN z maszyn domowych, czasami powodując wypadki.

Eugene Yokota
źródło
1

Jeśli osoba atakująca jest w stanie zagrozić Twojej sieci wewnętrznej, jest w stanie poznać Twój zasięg IP.

To trochę tak: jeśli jedyną ochroną, której używasz, jest zakres adresów IP, mogę podłączyć nieskonfigurowaną maszynę do przełącznika i nauczyć się konfiguracji sieci w ciągu kilku sekund, tylko na podstawie żądań ARP. Zasadniczo jest to zajęcie, jeśli jedynym powodem jest „bezpieczeństwo”.

Cały ból, bez zysku.

Matt Simmons
źródło
0

Używanie jednej klasy adresowania nad drugą nie zapewnia żadnego rzeczywistego bezpieczeństwa ponad to, co już zostało zaimplementowane.

Istnieją trzy główne typy prywatyzowanych klas adresów IP:

Klasa A: 10.0.0.0 - 10.255.255.255 Klasa B: 172.16.0.0 - 172.31.255.255 Klasa C: 192.168.0.0 - 192.168.255.255

saneczki
źródło
3
Westchnienie. Routing oparty na klasach od lat nie ma znaczenia. W rzeczywistości masz na myśli trzy prywatne podsieci do użytku.
Mark Henderson