Rischi legati all'uso interno di indirizzi IP non privati?

20

La mia azienda ha ricevuto una grande macchina industriale con molti dispositivi collegati in rete. Purtroppo l'ingegnere responsabile ha utilizzato un intervallo di indirizzi IP pubblici sulla macchina. Sono in Europa L'intervallo di indirizzi scelto appartiene a una società statunitense. Diciamo che è 143.166.0.0 (che in realtà appartiene a Dell).

Supponiamo che non connetta la macchina alla LAN della nostra azienda (per ora) ma collego il mio laptop ad essa per programmare un dispositivo - diciamo 143.166.0.1. Diciamo anche che la mia scheda di rete wireless per laptop è connessa alla LAN aziendale e quindi a Internet. Ora ho due possibili percorsi per due dispositivi che condividono un indirizzo. Quello locale che desidero e l'indirizzo Dell.

La mia domanda è: "Quanto dovrei essere preoccupato?" Cosa dovrebbe e succederebbe in questo caso? La mia ipotesi è che la macchina locale avrebbe risposto per prima e che avrei potuto cavarmela, ma che alla fine mi sarei morso. Per inciso, ho visto indirizzi IP pubblici anche su altre macchine. Sembra che gli ingegneri o non capiscano l'indirizzamento privato o non si aspettino che la loro macchina sia connessa al resto del mondo.

Qualche idea / commento? (che non comporta violenza all'ingegnere meccanico)?

Epilogo

Abbiamo riscontrato un problema interessante che ci ha costretto a cambiare gli indirizzi IP in privati.

  • Uno dei dispositivi sulla macchina è programmato tramite Internet Explorer utilizzando un componente ActiveX. Questo dispositivo proverà a inviare i dati al "listener" di ActiveX (anziché alla normale modalità browser di richiesta dei dati da un server remoto).
  • La nostra configurazione di Active Directory scarica le politiche di sicurezza sui nostri computer al momento dell'accesso. Incluso nella politica è l'elenco dei siti attendibili. Questi includono:
    • Indirizzi aziendali approvati.
    • Vari indirizzi esterni come la nostra banca.
    • Indirizzi privati ​​192.168.0.0/16, 172.16.0.0/20 e 10.0.0.0/24.
    • Tutto il resto è bloccato.
  • A causa della politica di sicurezza, il componente ActiveX non ha mai ricevuto alcun dato poiché il traffico in entrata è bloccato dalla politica di sicurezza!

Ciò mi ha costretto a fare in modo che il fornitore cambi gli indirizzi in 172.16.0.0. Dormirò più facilmente.

Grazie per tutto l'interesse

routing  ipv4 
Transistor
fonte

Risposte:

21

Risposta breve: la duplicazione di indirizzi pubblici assegnati è una cattiva idea.

Risposta leggermente più lunga: Lasciando da parte i problemi di routing per il momento, non è sicuro supporre che non sarà mai necessario raggiungere questa macchina da un luogo diverso da un cavo collegato direttamente o che le allocazioni di indirizzi pubblici o privati ​​sono statiche e non cambieranno mai .

I problemi di accesso remoto sono ovvi: Internet globale pensa che 143.166 / 16 sia in un posto e tu vuoi che sia in un altro. I router non andranno sul tuo computer.

E la proprietà potrebbe cambiare. Anche se questo indirizzo non è stato assegnato a Dell, potrebbe essere assegnato a loro in futuro. Dell ha questo indirizzo oggi, ma qualcun altro potrebbe domani, con un percorso diverso. Chissà? La tua organizzazione potrebbe persino acquistare quel blocco di indirizzi, con ancora più avventure di routing.

In conclusione: non dare per scontato che gli IP duplicati possano essere messi in sicurezza per sempre.

Per quanto riguarda il routing, l'interfaccia cablata preferirebbe l'indirizzo locale rispetto a quello di Dell. La tua interfaccia cablata invierebbe una richiesta ARP per quell'indirizzo e la riceverà direttamente dalla macchina industriale, senza gateway richiesto. Successivamente, i pacchetti destinati a quell'indirizzo utilizzerebbero l'indirizzo MAC di destinazione della macchina industriale.

Funzionerà perfettamente se si utilizza solo un cavo per l'accesso e fino a quando non sarà mai necessario raggiungere questa macchina da qualche altra parte e finché la tabella di routing globale rimarrà statica.

Sono molti se. È meglio evitare il problema utilizzando un indirizzo pubblico univoco o qualcosa di diverso dal pool di indirizzi privati.

user8162
fonte
Ragazzi avete ragione - mi dispiace, non capivo che fosse lo spazio di qualcun altro. Grazie.
Pseudocyber,
12

L'unico problema sarà l'incapacità di parlare con le macchine reali (internet) con quegli indirizzi. Ovviamente, puoi mettere un firewall ("nat box") tra la tua rete e questa cosa per far sembrare gli indirizzi privati ​​della tua rete.

Questo genere di cose è emerso in tutto il luogo per molti anni a causa della gente pigra e che utilizzava indirizzi "non assegnati" per i propri scopi; ora che sono assegnati, presenta un piccolo problema.

[Modifica: per la cronaca, non ho mai rinumerato la mia rete domestica. ma probabilmente non avrò mai bisogno di parlare con le persone che ora hanno quello spazio degli indirizzi. 15 anni e contando ...]

Ricky Beam
fonte
5
+1, aggiungerei che la dimensione del problema dipende dalla misura in cui lasci che questi indirizzi entrino nel tuo IGP e da quanti di questi indirizzi perdano nel resto della tua azienda. Purtroppo qualcuno ha aggiunto grossi pezzi di blocchi di classe A di AT&T in tutto il nostro IGP prima che io arrivassi qui.
Mike Pennington,
8

La mia domanda è: "Quanto dovrei essere preoccupato?" Cosa dovrebbe e succederebbe in questo caso? La mia ipotesi è che la macchina locale avrebbe risposto per prima e che avrei potuto cavarmela, ma che alla fine mi sarei morso.

Come nota a margine, non si tratta di chi risponde per primo. Se dai al tuo computer un indirizzo nella stessa sottorete, il traffico passerà direttamente alla macchina, senza router coinvolti.

Anche se utilizzeresti il ​​routing, inserendo una route verso 143.166.0.0/16 su alcuni router interni della tua rete, preferiranno questa route rispetto alla loro route (predefinita?) A Internet. Ciò accade perché si preferisce la "corrispondenza del prefisso più lungo", vale a dire. viene scelto il percorso più specifico.

Esatto riguardo al risultato netto, la parte 143.166.0.0/16 di Internet sarà irraggiungibile per te o per la tua rete se installi il percorso nei tuoi router interni. / 16 sembra un po 'grande per questo problema, più piccola è la sottorete che instradi, minore è la possibilità di essere morso.

Gerben
fonte
0

Di seguito, c'è la mia risposta modificata , che originariamente non capiva che non era lo spazio IP "di proprietà", ma invece lo spazio di qualcun altro.

Finché è il tuo spazio, non importa. Un indirizzo IP è un indirizzo IP. Le tue applicazioni non sanno cosa è privato e cosa è pubblico. Se hai spazio, potresti persino avere alcune sottoreti che sono "interne" e alcune accessibili "esternamente" - controllabili con i soliti controlli di routing, firewall, ecc.

Tutto lo spazio pubblico all'interno significa che non devi preoccuparti del NAT per entrare o uscire dalla tua rete.

Se NON è il tuo spazio IP, ma quello di qualcun altro, può tecnicamente funzionare. Tuttavia, non sarai mai in grado di raggiungere il loro spazio senza molto sforzo e confiurazione, come tunneling, NAT o doppio NAT o routing più specifico. Sarebbe meglio suggerire di reindirizzare la tua rete, per iscritto e dettagliare come farlo, come può essere gestito, ecc. Ricevilo per iscritto, quindi se ci sono problemi, puoi estrarre il tuo "Te l'ho detto via e-mail ".

I voti in basso riportati di seguito provengono dalla mia risposta originale, in cui ho letto male la domanda.

Grazie a tutti.

Pseudocyber
fonte
Mi dispiace ma devo sottovalutare questo, mentre puoi usare lo spazio degli indirizzi di qualcun altro, non è così facile come stai dicendo.
Mike Pennington,
Il mio voto negativo per "non ha importanza. Potrebbe non avere importanza adesso, ma alla fine morderà qualcuno quando meno te lo aspetti.
generalnetworkerror
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.