192.168.1.x більш експлуатований?


24

Наша фірма ІТ-сервісів пропонує переконфігурацію мережі для внутрішнього використання діапазону IP 10.10.150.1 - 10.10.150.254, оскільки вони заявляють про діючу схему IP, використовуючи за замовчуванням виробника 192.168.1.x, "це полегшує експлуатацію".

Це правда? Як знання / невідома внутрішня схема ІС робить мережу більш прибутковою? Всі внутрішні системи стоять за маршрутизатором SonicWall NAT і брандмауером.


Думав, я би додав це запитання: serverfault.com/questions/33810/… Схоже, це окреслює деякі проблеми, які можуть виникнути у вас, якщо ви йдете цим маршрутом.
Джошуа Нурчик

23
Якщо у вас немає компанії NDA з компанією, що надає послуги ІТ, чи можете ви назвати їх і соромити їх? Тоді всі тут можуть уникати їх через відсутність підказки та бажання створити оплачувану роботу, яка нічого не досягає
goo

Відповіді:


55

Це додасть у кращому випадку дуже тонкий рівень "безпеки від незрозумілості", оскільки 192.168.xy - це спосіб більш часто використовуваної мережевої адреси для приватних мереж, але для того, щоб використовувати внутрішні адреси, погані хлопці повинні бути вже всередині вашої мережі і лише найдурніші інструменти атаки будуть обдурені "нестандартною" схемою адрес.

Для реалізації цього це майже нічого не коштувало, і він взагалі нічого не пропонує у відповідь.


7
+1 за "нічого не коштує майже нічого". Я б запитав, чи така зміна може не викликати біль у $ $, ніж варто, але якщо ви дійсно, дійсно стурбовані ... продовжуйте користуватися нестандартним діапазоном IP. Просто не забудьте змінити паролі та порти маршрутизатора за замовчуванням ... тому що в іншому випадку це просто бентежить. усмішка
KPWINC

23
Залежно від розміру вашої мережі, я стверджую, що вартість набагато більша, ніж нічого. Якщо ви дійсно хочете спекти локшину консультантів, скажіть йому, що ви вважаєте, що передбачуваність є основою інформаційної безпеки, і впровадження цієї зміни зробить мережу менш безпечною, оскільки це вимагатиме від вас змінити багато списків контролю доступу та інших технічних засобів безпеки .
dr.pooter

1
Я погоджуюся з dr.pooter щодо цього. Це дуже велика зміна вашої інфраструктури, і чорт майже не має реальної користі. У середовищі середнього розміру та вище, логістика (та ризики) цього викликають виразку.
Скотт Пак

1
Ще одна угода. Ця зміна "нічого не коштує" у повністю DHCP-мережі, яка не потребує статичних IP-адрес (зазвичай означає відсутність серверів у мережі). В іншому випадку це коштує головних болів і багато часу.
Джошуа Нурчик

1
+1 Погоджено. Я б насторожено ставився до тих, хто докладає зусиль, щоб реалізовувати щось з єдиною метою безпеки через невідомість.
squillman

30

Мені звучить як оплачувана зайнятість.

Окрім того, що багато побутових приладів використовують адресний простір 192.168.xx (який можна експлуатувати, як і все інше), я не відчуваю, що насправді змінює ландшафт безпеки корпоративної мережі. Речі всередині замкнені, або їх немає.

Тримайте ваші машини / пристрої на поточному програмному забезпеченні / мікропрограмному забезпеченні, дотримуйтесь кращих практик безпеки мережі, і ви будете в хорошій формі.


13
+1 для спостереження за "оплачуваною роботою". Хтось повинен заплатити за оренду за рік і проявити творчість з пропозиціями своїх клієнтів. =)
Веслі

+1 Так, те, що сказав
Нонапептид

3
+1 - Можливо, наступна компанія з охоронної сигналізації запропонує вам спробувати пофарбувати зовнішній вигляд будівлі в камуфляжні кольори, щоб уникнути грабіжників! Безпека через безглуздість ...
Еван Андерсон

10

Здається, що ваша ІТ-фірма хоче отримати якусь оплачувану роботу.

Єдиною легітимною причиною, яку я можу вважати, щоб триматися подалі від підмереж 192.168.0.x або 192.168.1.x, пов’язано з можливою припущенням перекриття підмереж з vpn-клієнтами. Це неможливо подолати, але це додасть певних ускладнень у налаштуванні vpn та діагностиці проблем.


1
Так, це єдина причина, що я зазвичай вибираю дивні мережі, такі як 10.117.1.0/24, для офісів, у яких можуть бути VPNing користувачів.
кашани

@kashani Це розумна практика. Насправді настільки розумно, що якщо ви хочете використовувати приватні адреси в IPv6, в RFC 4193 навіть доручено вводити 40 випадкових бітів у префікс.
kasperd

9

Однією з великих переваг не використовувати адреса 192.168.xx є уникати перекриття з домашніми мережами користувачів. Під час налаштування VPN набагато передбачуваніше, якщо ваша мережа відрізняється від їхньої.


2
+1: Це одна з двох вагомих причин для зміни (інша потребує більше адрес у підмережі).
Річард

8

Я не думаю, що це ймовірно.
Будь-який подвиг, вагомий на його вагу, використовуватиме всі три приватні діапазони підмережі для сканування.

Ось кілька посилань на ваш ІТ,


7

(нюхає ... нюхає) Я пахну ... чимось. Це, здається, виходить з напрямку вашої ІТ-фірми. Пахне ... балон.

Перемикання підмереж забезпечує, в кращому випадку, захисний вигляд. Не забудьте, що решта вас не охоплюють ...

Часи важко кодованих вірусів уже давно минули, і ви побачите, що шкідливий код достатньо "розумний", щоб переглянути підмережу зараженої машини та почати сканувати звідти.


+1 для філеф.
msanford

Я спочатку збирався сказати "codpiece", але якось це звучало міцніше, ніж треба ...
Avery Payne

6

Я б сказав, що це не більш безпечно. Якщо вони потраплять у ваш маршрутизатор, він все одно покаже їм внутрішню дальність.


3

Як сказала інша людина, лише вагома причина змінитись із 192.168.1.x - це якщо ви використовуєте VPN від домашніх маршрутизаторів на стороні клієнта. Тому кожна мережа, якою я адмініструю, має іншу підмережу, тому що я та мої клієнтські машини роблять VPN.


2

Я гадаю, що деякі сценарії експлуатації маршрутизатора на коді важко кодуються, щоб переглядати стандартну адресу домашньої мережі. Отже, їх відповідь - "безпека через неясність" ... за винятком того, що це невідомо, оскільки залежно від того, як працює сценарій, він, ймовірно, має доступ до адреси шлюзу.


2

Дійсно, це просто міська легенда.

У будь-якому разі, їх міркування можуть бути наступними: припустимо, що діапазон 192.168.x.0 / 24 використовується частіше. Тоді, можливо, наступним припущенням буде те, що якщо на одному з ПК був фрагмент шкідливого програмного забезпечення, він би просканував діапазон 192.168.x.0 / 24 для активних комп'ютерів. Не враховуйте той факт, що він, ймовірно, використовує якийсь вбудований механізм Windows для виявлення мережі.

Знову - це звучить як вантаж-культ для мене.


2

Виробники за замовчуванням завжди є більш корисними, оскільки вони є першими варіантами, які будуть зроблені, але діапазон 10 також є дуже відомим приватним діапазоном, і - якщо 192.168 не працює - буде наступним випробуваним. Я б назвав їх "биком".


2

Обидва діапазони - це "приватні" адреси і однаково добре відомі. Запропонуйте комусь іншому доглядати за вашими ІТ.

Знання, який діапазон адрес ви використовуєте внутрішньо, абсолютно не має переваги. Як тільки хтось отримає доступ до вашої внутрішньої мережі, він може побачити, які адреси ви використовуєте. До цього моменту це рівні умови.


1

Я не хлопець у мережі ... але, як людина з Linux, я не бачу, як це могло б змінитись. Заміна одного внутрішнього класу C на інший насправді нічого не робить. Якщо ви перебуваєте в мережі, ви все одно отримаєте той самий доступ незалежно від IP-адрес.

Можливо, є незначна різниця з точки зору людей, які не знають, що вони роблять, приводячи власні бездротові маршрутизатори, які за замовчуванням становлять 192.168.0 / 32. Але це справді не є більш безпечним.


1

Багато сучасних загроз надходять зсередини через недбалих користувачів, що виконують зловмисне програмне забезпечення. Хоча він може не забезпечити особливого захисту, я б не повністю відкидав його як міську легенду.

Це було б названо безпекою через невідомість, якщо захист покладався б тільки на неясність (наприклад, розміщення секретного документа на загальнодоступному веб-сервері з "випадковою" назвою папки), це явно не так.

Деякі сценарії можуть бути жорстко кодовані для сканування діапазону 192.168.1.x та розповсюдження власної копії. Інша практична причина полягає в тому, що домашні маршрутизатори, як правило, налаштовані з таким діапазоном, тому він може конфліктувати, коли ви встановлюєте vpn з домашніх машин, іноді спричиняючи аварії.


1

Якщо зловмисник може скомпрометувати вашу внутрішню мережу, він може знати ваш діапазон IP-адрес.

Це приблизно так: Якщо єдиний захист, який ви використовуєте, - це ваш діапазон IP-адрес, я можу підключити неконфігуровану машину до комутатора і через пару секунд дізнатися про вашу конфігурацію мережі, лише за запитами ARP. Це по суті зайнята робота, якщо єдиною причиною цього є "безпека".

Весь біль, ніякого виграшу.


0

Використання одного класу адресацій над іншим не забезпечує реальної безпеки вище та поза тим, що вже реалізовано.

Існує три основні типи приватизованих класів IP-адреси:

Клас А: 10.0.0.0 - 10.255.255.255 Клас В: 172.16.0.0 - 172.31.255.255 Клас С: 192.168.0.0 - 192.168.255.255


3
Зітхнути. Маршрут на основі класу роками не має значення. Насправді ви маєте на увазі, що є три приватні підмережі для використання.
Марк Хендерсон
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.