192.168.1.x более эксплуатируемый?

Наша фирма, предоставляющая ИТ-услуги, предлагает реконфигурацию сети для внутреннего использования диапазона IP-адресов 10.10.150.1 - 10.10.150.254, поскольку в них указывается текущая схема IP с использованием значений по умолчанию 192.168.1.x, установленных производителем, что делает ее «легкой в ​​использовании».

Это правда? Как знание / отсутствие знания внутренней схемы IP делает сеть более удобной для использования? Все внутренние системы находятся за SonicWall NAT и межсетевым экраном.

Это добавит в лучшем случае очень тонкий слой «безопасность по неизвестности», так как 192.168.xy - более распространенный сетевой адрес для частных сетей, но для использования внутренних адресов плохие парни должны быть уже внутри вашей сети. и только самые глупые инструменты атаки будут одурачены «нестандартной» адресной схемой.

Это практически ничего не стоило, и взамен почти ничего не предлагает.

Похоже, оплачиваемая занятость для меня.

Помимо того, что многие потребительские устройства используют адресное пространство 192.168.xx (которое можно использовать, как и все остальное), я не думаю, что это действительно меняет ландшафт безопасности корпоративной сети. Вещи внутри заблокированы, или нет.

Следите за тем, чтобы на ваших машинах / устройствах использовалось текущее программное обеспечение / прошивка, следуйте рекомендациям по обеспечению безопасности сети, и вы будете в хорошей форме.

Похоже, ваша IT-компания хочет оплачиваемой работы для меня.

Единственная законная причина, по которой я могу думать о том, чтобы держаться подальше от подсетей 192.168.0.x или 192.168.1.x, связана с вероятностью наличия перекрывающихся подсетей с клиентами vpn. Это не невозможно обойти, но добавляет сложности при настройке проблем с vpn и диагностике.

Одним из больших преимуществ отказа от использования адресации 192.168.xx является недопущение наложения на домашние сети пользователей. При настройке VPN гораздо более предсказуемо, если ваша сеть отличается от их.

Я не думаю, что это вероятно.
Любой вес эксплойта будет использовать для сканирования все три диапазона подсетей .

Вот несколько ссылок для вашей ИТ,

• Ссылка на статью: Взлом интрасет через веб-интерфейсы , обсуждает даже возможности компаний, использующих такие сети, как 1.0.0.0/8и 2.0.0.0/8!
• Старый Сассер отсканировал 10/8 и 192,168 / 16

(нюхает ... нюхает) Я чувствую запах ... чего-то. Кажется, это идет со стороны вашей ИТ-фирмы. Пахнет как ... вздор.

Переключение подсетей обеспечивает, в лучшем случае, надежную защиту. Неважно, остальная часть вас не покрыта ...

Дни жестко закодированных вирусов давно прошли, и вы обнаружите, что вредоносный код достаточно «умен», чтобы посмотреть на подсеть зараженной машины и начать сканирование оттуда.

Я бы сказал, что это не более безопасно. Если они проникнут в ваш маршрутизатор, он все равно покажет им внутренний диапазон.

Как сказал другой человек, единственной веской причиной для перехода с 192.168.1.x является использование VPN с домашних маршрутизаторов на стороне клиента. По этой причине каждая сеть, которой я управляю, имеет свою подсеть, потому что я и мои клиентские машины используют VPN.

Я полагаю, что некоторые скрипты эксплойтов, передаваемых через маршрутизатор, жестко запрограммированы для просмотра стандартного адреса homerouter. Таким образом, их ответ - «безопасность через неизвестность» ... за исключением того, что он не скрыт, потому что в зависимости от того, как работает скрипт, он, вероятно, имеет доступ к адресу шлюза.

На самом деле, это просто городская легенда.

В любом случае их аргументация может быть следующей: предположим, что диапазон 192.168.x.0 / 24 используется чаще. Тогда, возможно, следующим предположением будет то, что, если на одном из компьютеров будет какое-либо вредоносное программное обеспечение, оно будет сканировать диапазон 192.168.x.0 / 24 на наличие активных компьютеров. Не обращайте внимания на тот факт, что он может использовать встроенный механизм Windows для обнаружения сети.

Опять же - для меня это звучит как груз-культизм.

Стандартные настройки производителя всегда более пригодны для использования, поскольку они являются первыми опциями, которые будут опробованы, но диапазон 10 также является очень известным частным диапазоном, и - если 192.168 не работает - будет следующий опробованный вариант. Я бы назвал их "быком".

Оба диапазона являются «частными» адресами и одинаково хорошо известны. Попросите кого-нибудь позаботиться о вашей ИТ

Знание того, какой диапазон адресов вы используете внутри, абсолютно бесполезно. Когда у кого-то есть доступ к вашей внутренней сети, он может видеть, какие адреса вы используете. До этого момента это ровное игровое поле.

Я не сетевой парень ... но как человек Linux, я не понимаю, как это могло бы иметь значение. Замена одного внутреннего класса C на другой на самом деле ничего не делает. Если вы находитесь в сети, вы все равно получите тот же доступ независимо от того, какие IP-адреса.

Может быть небольшая разница с точки зрения людей, которые не знают, что они делают, используя свои собственные беспроводные маршрутизаторы, которые по умолчанию будут использовать 192.168.0 / 32. Но это действительно не более безопасно.

Многие из сегодняшних угроз исходят изнутри через неосторожных пользователей, выполняющих вредоносные программы. Хотя, возможно, он не обеспечит особой защиты, я бы не стал полностью отрицать это как городскую легенду.

Это было бы названо безопасностью через неизвестность, если защита опиралась только на неизвестность (как, например, размещение секретного документа на общедоступном веб-сервере со «случайным» именем папки), это явно не тот случай.

Некоторые сценарии могут быть жестко запрограммированы для сканирования диапазона 192.168.1.x и распространения собственной копии. Другая практическая причина заключается в том, что домашние маршрутизаторы обычно настроены на этот диапазон, поэтому он может конфликтовать при настройке vpn с домашних машин, что иногда приводит к авариям.

Если злоумышленник может скомпрометировать вашу внутреннюю сеть, он может узнать ваш диапазон IP-адресов.

Это примерно так: если единственной защитой, которую вы используете, является диапазон IP-адресов, я могу подключить ненастроенную машину к коммутатору и через пару секунд узнать конфигурацию вашей сети, просто запросив ARP. Это по сути занятая работа, если единственная причина этого - «безопасность».

Вся боль, никакой выгоды.

Использование одного класса адресации поверх другого не обеспечивает реальной безопасности сверх того, что уже реализовано.

Существует три основных типа приватизированных классов IP-адресов:

Класс A: 10.0.0.0 - 10.255.255.255 Класс B: 172.16.0.0 - 172.31.255.255 Класс C: 192.168.0.0 - 192.168.255.255