192.168.1.x более эксплуатируемый?


24

Наша фирма, предоставляющая ИТ-услуги, предлагает реконфигурацию сети для внутреннего использования диапазона IP-адресов 10.10.150.1 - 10.10.150.254, поскольку в них указывается текущая схема IP с использованием значений по умолчанию 192.168.1.x, установленных производителем, что делает ее «легкой в ​​использовании».

Это правда? Как знание / отсутствие знания внутренней схемы IP делает сеть более удобной для использования? Все внутренние системы находятся за SonicWall NAT и межсетевым экраном.


Думаю, я бы добавил этот вопрос: serverfault.com/questions/33810/… Похоже, это обрисовывает некоторые проблемы, которые могут у вас возникнуть, если вы пойдете по этому пути.
Джошуа Нурчик

23
Если у вас нет NDA в компании, предоставляющей ИТ-услуги, можете ли вы назвать и опозорить их? Тогда все здесь могут избежать их из-за их отсутствия понятия и желания создать оплачиваемую работу, которая ничего не достигает
слизь

Ответы:


55

Это добавит в лучшем случае очень тонкий слой «безопасность по неизвестности», так как 192.168.xy - более распространенный сетевой адрес для частных сетей, но для использования внутренних адресов плохие парни должны быть уже внутри вашей сети. и только самые глупые инструменты атаки будут одурачены «нестандартной» адресной схемой.

Это практически ничего не стоило, и взамен почти ничего не предлагает.


7
+1 за «ничего не стоит, почти ничего не предлагает». Я бы задал вопрос, может ли такое изменение не быть более болезненным для $$, чем его ценность, но если вы ДЕЙСТВИТЕЛЬНО, ДЕЙСТВИТЕЛЬНО обеспокоены ... продолжайте и используйте нестандартный диапазон IP. Только не забудьте изменить пароли и порты маршрутизатора по умолчанию ... потому что в противном случае это просто смущает. улыбка
KPWINC

23
В зависимости от размера вашей сети, я бы сказал, что стоимость намного больше, чем ничего. Если вы действительно хотите испечь лапшу консультантов, скажите ему, что вы считаете, что предсказуемость является основой информационной безопасности, и внедрение этого изменения сделает сеть менее защищенной, поскольку вам потребуется изменить множество списков управления доступом и другие технические средства безопасности. ,
dr.pooter

1
Я согласен с dr.pooter в этом. Это очень большое изменение в вашей инфраструктуре, и чертовски почти никакой реальной выгоды. Для среды среднего размера и выше, логистика (и риски) этого вызывает язву.
Скотт Пак

1
Еще одно соглашение. Изменение только «ничего не стоит» в полностью DHCP-сети, которая не требует статических IP-адресов (обычно означает отсутствие серверов в сети). В противном случае это стоит головной боли и много времени.
Джошуа Нурчик

1
+1 Согласен. Я бы с осторожностью относился ко всем, кто идет на все, чтобы реализовать что-то с единственной целью - безопасность по неизвестности.
squillman

30

Похоже, оплачиваемая занятость для меня.

Помимо того, что многие потребительские устройства используют адресное пространство 192.168.xx (которое можно использовать, как и все остальное), я не думаю, что это действительно меняет ландшафт безопасности корпоративной сети. Вещи внутри заблокированы, или нет.

Следите за тем, чтобы на ваших машинах / устройствах использовалось текущее программное обеспечение / прошивка, следуйте рекомендациям по обеспечению безопасности сети, и вы будете в хорошей форме.


13
+1 за «оплачиваемую занятость». Кто-то должен оплатить аренду на год и проявить творческий подход к предложениям своих клиентов. =)
Уэсли

+1 Да, что сказал
Нонапептид

3
+1 - Возможно, в следующий раз компания охранной сигнализации предложит вам покрасить фасад здания в камуфляжные цвета, чтобы отгородить грабителей! Безопасность через абсурд ...
Эван Андерсон

10

Похоже, ваша IT-компания хочет оплачиваемой работы для меня.

Единственная законная причина, по которой я могу думать о том, чтобы держаться подальше от подсетей 192.168.0.x или 192.168.1.x, связана с вероятностью наличия перекрывающихся подсетей с клиентами vpn. Это не невозможно обойти, но добавляет сложности при настройке проблем с vpn и диагностике.


1
Да, это единственная причина, по которой я обычно выбираю странные сети, такие как 10.117.1.0/24, для офисов, в которых могут подключаться пользователи VPN.
Кашани

@kashani Это разумная практика. На самом деле настолько разумно, что если вы хотите использовать частные адреса в IPv6, в RFC 4193 даже предписано поместить 40 префикс случайных битов.
kasperd

9

Одним из больших преимуществ отказа от использования адресации 192.168.xx является недопущение наложения на домашние сети пользователей. При настройке VPN гораздо более предсказуемо, если ваша сеть отличается от их.


2
+1: это одна из двух веских причин для изменения (другая нуждается в большем количестве адресов в подсети).
Ричард

8

Я не думаю, что это вероятно.
Любой вес эксплойта будет использовать для сканирования все три диапазона подсетей .

Вот несколько ссылок для вашей ИТ,


7

(нюхает ... нюхает) Я чувствую запах ... чего-то. Кажется, это идет со стороны вашей ИТ-фирмы. Пахнет как ... вздор.

Переключение подсетей обеспечивает, в лучшем случае, надежную защиту. Неважно, остальная часть вас не покрыта ...

Дни жестко закодированных вирусов давно прошли, и вы обнаружите, что вредоносный код достаточно «умен», чтобы посмотреть на подсеть зараженной машины и начать сканирование оттуда.


+1 для фигового листа.
мсанфорд

Первоначально я собирался сказать «треска», но как-то это звучало крепче, чем нужно ...
Эйвери Пейн

6

Я бы сказал, что это не более безопасно. Если они проникнут в ваш маршрутизатор, он все равно покажет им внутренний диапазон.


3

Как сказал другой человек, единственной веской причиной для перехода с 192.168.1.x является использование VPN с домашних маршрутизаторов на стороне клиента. По этой причине каждая сеть, которой я управляю, имеет свою подсеть, потому что я и мои клиентские машины используют VPN.


2

Я полагаю, что некоторые скрипты эксплойтов, передаваемых через маршрутизатор, жестко запрограммированы для просмотра стандартного адреса homerouter. Таким образом, их ответ - «безопасность через неизвестность» ... за исключением того, что он не скрыт, потому что в зависимости от того, как работает скрипт, он, вероятно, имеет доступ к адресу шлюза.


2

На самом деле, это просто городская легенда.

В любом случае их аргументация может быть следующей: предположим, что диапазон 192.168.x.0 / 24 используется чаще. Тогда, возможно, следующим предположением будет то, что, если на одном из компьютеров будет какое-либо вредоносное программное обеспечение, оно будет сканировать диапазон 192.168.x.0 / 24 на наличие активных компьютеров. Не обращайте внимания на тот факт, что он может использовать встроенный механизм Windows для обнаружения сети.

Опять же - для меня это звучит как груз-культизм.


2

Стандартные настройки производителя всегда более пригодны для использования, поскольку они являются первыми опциями, которые будут опробованы, но диапазон 10 также является очень известным частным диапазоном, и - если 192.168 не работает - будет следующий опробованный вариант. Я бы назвал их "быком".


2

Оба диапазона являются «частными» адресами и одинаково хорошо известны. Попросите кого-нибудь позаботиться о вашей ИТ

Знание того, какой диапазон адресов вы используете внутри, абсолютно бесполезно. Когда у кого-то есть доступ к вашей внутренней сети, он может видеть, какие адреса вы используете. До этого момента это ровное игровое поле.


1

Я не сетевой парень ... но как человек Linux, я не понимаю, как это могло бы иметь значение. Замена одного внутреннего класса C на другой на самом деле ничего не делает. Если вы находитесь в сети, вы все равно получите тот же доступ независимо от того, какие IP-адреса.

Может быть небольшая разница с точки зрения людей, которые не знают, что они делают, используя свои собственные беспроводные маршрутизаторы, которые по умолчанию будут использовать 192.168.0 / 32. Но это действительно не более безопасно.


1

Многие из сегодняшних угроз исходят изнутри через неосторожных пользователей, выполняющих вредоносные программы. Хотя, возможно, он не обеспечит особой защиты, я бы не стал полностью отрицать это как городскую легенду.

Это было бы названо безопасностью через неизвестность, если защита опиралась только на неизвестность (как, например, размещение секретного документа на общедоступном веб-сервере со «случайным» именем папки), это явно не тот случай.

Некоторые сценарии могут быть жестко запрограммированы для сканирования диапазона 192.168.1.x и распространения собственной копии. Другая практическая причина заключается в том, что домашние маршрутизаторы обычно настроены на этот диапазон, поэтому он может конфликтовать при настройке vpn с домашних машин, что иногда приводит к авариям.


1

Если злоумышленник может скомпрометировать вашу внутреннюю сеть, он может узнать ваш диапазон IP-адресов.

Это примерно так: если единственной защитой, которую вы используете, является диапазон IP-адресов, я могу подключить ненастроенную машину к коммутатору и через пару секунд узнать конфигурацию вашей сети, просто запросив ARP. Это по сути занятая работа, если единственная причина этого - «безопасность».

Вся боль, никакой выгоды.


0

Использование одного класса адресации поверх другого не обеспечивает реальной безопасности сверх того, что уже реализовано.

Существует три основных типа приватизированных классов IP-адресов:

Класс A: 10.0.0.0 - 10.255.255.255 Класс B: 172.16.0.0 - 172.31.255.255 Класс C: 192.168.0.0 - 192.168.255.255


3
Вздох. Маршрутизация на основе классов не имеет значения в течение многих лет. На самом деле вы имеете в виду, что есть три частные подсети для использования.
Марк Хендерсон
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.