Ризики використання неприватних IP-адрес внутрішньо?


20

Моя компанія отримала велику промислову машину з безліччю мережевих пристроїв. На жаль, відповідальний інженер використав загальнодоступний діапазон IP-адрес на апараті. Я в Європі. Обраний діапазон адрес належить компанії США. Скажімо, це 143.166.0.0 (що насправді належить Dell).

Припустимо, що я не підключаю апарат до локальної мережі компанії (поки що), але я підключаю свій ноутбук до нього, щоб запрограмувати пристрій - скажімо 143.166.0.1. Скажімо також, що мій адаптер бездротової мережі ноутбука підключений до локальної мережі компанії, а отже, до Інтернету. Зараз у мене є два можливі маршрути до двох пристроїв, які мають спільну адресу. Місцевий я хочу та адресу Dell.

Моє запитання: "Як мені хвилюватися?" Що повинно і що станеться в цьому випадку? Я здогадуюсь, що місцева машина відповість першою і що я можу піти від неї, але в підсумку я покусаю. Між іншим, я бачив публічні ip-адреси на інших машинах. Здається, інженери або не розуміють приватну адресування, або не очікують, що їх машина буде підключена до широкого світу.

Будь-які ідеї / коментарі? (які не пов'язані з насильством машинобудівника)?

Епілог

Ми виявили цікаву проблему, яка змусила нас змінити IP-адреси на приватні.

  • Один з пристроїв на пристрої програмується через Internet Explorer за допомогою компонента ActiveX. Цей пристрій намагатиметься перенести дані на «слухача» ActiveX (а не у звичайний браузерний режим запиту даних з віддаленого сервера).
  • Наша конфігурація Active Directory завантажує політику безпеки на наші комп’ютери під час входу. У політику входить список надійних сайтів. До них належать:
    • Затверджені адреси компанії.
    • Різні зовнішні адреси, такі як наш банк.
    • Приватні адреси 192.168.0.0/16, 172.16.0.0/20 та 10.0.0.0/24.
    • Все інше заблоковано.
  • Через політику безпеки компонент ActiveX ніколи не отримував жодних даних, оскільки вхідний трафік блокується політикою безпеки!

Це змусило мене змусити продавця змінити адреси на 172.16.0.0. Я буду легше спати.

Дякуємо за весь інтерес.

Відповіді:


21

Коротка відповідь: Дублювання виділених публічних адрес - погана ідея.

Трохи довша відповідь: Не залишаючи на даний момент проблем маршрутизації, не можна припустити, що вам ніколи не потрібно буде дістатися до цієї машини з іншого місця, крім безпосередньо підключеного кабелю, або що присвоєння публічної чи приватної адреси статичне і ніколи не зміниться .

Питання віддаленого доступу очевидні: глобальний Інтернет вважає, що 143.166 / 16 знаходиться в одному місці, а ви хочете, щоб він був в іншому. Маршрутизатори не підуть до вашої машини.

І право власності може змінитися. Навіть якби ця адреса не була призначена Dell, вона може бути надана їм у майбутньому. У Dell є сьогодні така адреса, але завтра хтось може, іншим маршрутом. Хто знає? Ваша організація може навіть придбати цей адресний блок із ще більшими пригодами маршрутизації.

Підсумок: Не припускайте, що повторювані IP-адреси можуть бути безпечно відхилені назавжди.

Що стосується маршрутизації, то ваш дротовий інтерфейс вважає за краще локальну адресу над Dell. Ваш провідний інтерфейс надішле запит ARP на цю адресу та отримає його безпосередньо з промислової машини, не потрібен шлюз. Після цього пакети, призначені для цієї адреси, використовуватимуть MAC-адресу призначення промислової машини.

Це буде добре, якщо ви використовуєте лише кабель для доступу, і до тих пір, поки вам ніколи не потрібно буде дістатися до цієї машини з іншого місця, і поки глобальна таблиця маршрутизації залишається статичною.

Це багато ifs. Вам краще уникати проблеми, використовуючи або унікальну публічну адресу, або щось із пулу приватних адрес.


Ви маєте рацію - вибачте, я не зрозумів, що це чужий космос. Спасибі.
Псевдокібер

12

Єдиним питанням буде неможливість спілкуватися з реальними (Інтернет) машинами з цими адресами. Звичайно, ви можете поставити між мережею брандмауер ("поле вікна"), щоб він виглядав як приватні адреси вашої мережі.

Такі речі багато років з’являються в усьому світі через те, що люди лінуються і використовують "непризначені" адреси для своїх цілей; Тепер, коли вони призначені, це представляє невелику проблему.

[Редагувати: для запису я ніколи не перенумерував свою домашню мережу. але мені, швидше за все, не доведеться спілкуватися з людьми, які зараз мають цей адресний простір. 15 років і рахуючи ...]


5
+1, я хотів би додати, що розмір проблеми залежить від того, наскільки ви дозволяєте цим адресам потрапляти у ваш IGP і скільки цих адрес просочується до решти вашої компанії. На жаль хтось додав великі шматки блоків класу A&T класу A по всьому нашому IGP, перш ніж я потрапив сюди.
Майк Пеннінгтон

8

Моє запитання: "Як мені хвилюватися?" Що має і що станеться в цьому випадку? Я здогадуюсь, що місцева машина відповість першою і що я можу піти від неї, але в підсумку я покусаю.

Як бічна примітка, справа не в тому, хто перший відповість. Якщо ви вкажете адресу свого комп’ютера в тій самій підмережі, трафік буде прямувати до машини, без маршрутизаторів.

Навіть якщо ви використовуєте маршрутизацію, вводячи маршрут до 143.166.0.0/16 на деяких внутрішніх маршрутизаторах у вашій мережі, вони віддадуть перевагу цьому маршруту над своїм (за замовчуванням?) Маршрутом до Інтернету. Це відбувається тому, що кращим є "найдовший збіг префіксів", тобто. обраний найбільш конкретний маршрут.

Що стосується чистого результату, частина 143.166.0.0/16 Інтернету буде недоступною для вас або вашої мережі, якщо встановити маршрут у внутрішніх маршрутизаторах. / 16 здається дещо великим для цього питання, чим менше підмережа, до якої ви прямуєте, тим менша ймовірність отримати покусання.


0

Нижче - моя відредагована відповідь - яка спочатку не зрозуміла, що це не "власник" ІР-простору, а замість чужого простору.

Поки це ваш простір, це не має значення. IP-адреса - це ip-адреса. Ваші програми не знають, що є приватним, а що публічним. Якщо у вас є простір, у вас можуть бути навіть деякі підмережі, які є "внутрішніми", а деякі доступні "зовні" доступними - керованими за допомогою звичайних елементів керування маршрутизацією, брандмауерами тощо.

Все публічне місце зсередини означає, що вам не потрібно турбуватися про NAT, щоб зайти або вийти з мережі.

Якщо це НЕ власний ІР-простір, а чужий, він може технічно працювати. Однак ви ніколи не зможете дістатися до їх простору без великих зайвих зусиль та конфігурації - таких як тунелювання, NAT або подвійний NAT або більш конкретна маршрутизація. Найкраще запропонувати переглядати свою мережу в письмовій формі та докладно розповісти про те, як це зробити, як нею керувати тощо. Отримайте це письмово, то якщо виникнуть проблеми, ви можете витягнути своє "Я сказав вам так електронною поштою ".

Внизу голоси були від моєї оригінальної відповіді, в якій я неправильно прочитав питання.

Дякую всім.


Вибачте, але мені доведеться це зробити голосом, хоча ви можете використовувати чужий адресний простір, це не так просто, як ви говорите.
Майк Пеннінгтон

Відмова від мене за "це не має значення. Це може не мати значення зараз, але він зрештою кусає когось, коли найменше очікують"
generalnetworkerror
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.