192.168.1.x più sfruttabile?


24

La nostra società di servizi IT propone una riconfigurazione della rete per utilizzare la gamma IP 10.10.150.1 - 10.10.150.254 internamente, poiché affermano che l'attuale schema IP utilizzando le impostazioni predefinite del produttore di 192.168.1.x lo sta "rendendo facile da sfruttare".

È vero? In che modo conoscere / non conoscere lo schema IP interno rende una rete più sfruttabile? Tutti i sistemi interni sono protetti da un router NAT e firewall SonicWall.


Ho pensato di aggiungere questa domanda: serverfault.com/questions/33810/… Sembra che questo delinea alcuni problemi che potresti avere se dovessi seguire questa strada.
Joshua Nurczyk,

23
Se non hai un accordo di riservatezza con la società di servizi IT, puoi nominarli e vergognarli? Quindi tutti qui possono evitarli a causa della loro mancanza di indizio e del desiderio di creare un lavoro fatturabile che non ottenga nulla
goo

Risposte:


55

Ciò aggiungerà nella migliore delle ipotesi un livello molto sottile di "sicurezza per oscurità", poiché 192.168.xy è un indirizzo di rete più comunemente usato per le reti private, ma per usare gli indirizzi interni, i cattivi ragazzi devono essere già dentro la tua rete e solo gli strumenti di attacco più stupidi saranno ingannati dallo schema di indirizzi "non standard".

Non è costato quasi nulla per implementarlo e non offre quasi nulla in cambio.


7
+1 per "costa niente non offre quasi nulla". Mi chiedo se un tale cambiamento potrebbe non essere più un dolore nel prezzo di un valore che non ne vale la pena, ma se sei DAVVERO, DAVVERO preoccupato ... vai avanti e usa un intervallo IP non standard. Assicurati solo di modificare le password e le porte del router predefinite ... perché altrimenti è solo imbarazzante. ghigno
KPWINC

23
A seconda delle dimensioni della tua rete, direi che il costo è molto più grande di niente. Se vuoi davvero cuocere i noodle dei consulenti, digli che ritieni che la prevedibilità sia una base della sicurezza delle informazioni e l'implementazione di questa modifica renderà la rete meno sicura perché ti richiederà di modificare molti elenchi di controllo di accesso e altri controlli tecnici di sicurezza .
dr.pooter,

1
Sono d'accordo con dr.pooter su questo. Si tratta di un cambiamento molto grande nella tua infrastruttura, con quasi nessun vantaggio reale. Per un ambiente di medie dimensioni e superiore, la logistica (e i rischi) di questo stanno invocando l'ulcera.
Scott Pack,

1
Un altro accordo. La modifica "non costa nulla" su una rete completamente DHCP che non richiede indirizzi IP statici (di solito significa che non ci sono server sulla rete). Costa il mal di testa e un sacco di tempo altrimenti.
Joshua Nurczyk,

1
+1 concordato. Sarei diffidente nei confronti di chiunque faccia di tutto per implementare qualcosa al solo scopo della sicurezza attraverso l'oscurità.
Squillman,

30

Mi sembra un lavoro fatturabile.

A parte il fatto che molti dispositivi di consumo utilizzano lo spazio degli indirizzi 192.168.xx (che può essere sfruttato, come qualsiasi altra cosa), non credo che cambi davvero il panorama della sicurezza di una rete aziendale. Le cose dentro sono bloccate o non lo sono.

Mantieni le tue macchine / dispositivi sul software / firmware corrente, segui le migliori pratiche per la sicurezza della rete e sarai in buona forma.


13
+1 per l'osservazione "fatturabilità". Qualcuno deve pagare il contratto di locazione per l'anno e diventare creativo con le proposte dei suoi clienti. =)
Wesley il

1 Sì, quello che ha detto nonapeptide
squillman

3
+1 - Forse accanto la compagnia di antifurto ti suggerirà di provare a dipingere l'esterno dell'edificio con colori mimetici per scongiurare i ladri! Sicurezza attraverso l'assurdità ...
Evan Anderson,

10

Sembra che la tua azienda IT voglia un po 'di lavoro fatturabile per me.

L'unica ragione legittima a cui riesco a pensare di stare alla larga dalle sottoreti 192.168.0.xo 192.168.1.x è dovuta al probabile rischio di avere sottoreti sovrapposte con client VPN. Questo non è impossibile aggirare, ma aggiunge qualche complicazione all'impostazione di vpn e alla diagnosi dei problemi.


1
Sì, questa è l'unica ragione per cui di solito scelgo strane reti come 10.117.1.0/24 per gli uffici che possono avere utenti VPN in loro.
Kashani,

@kashani Questa è una pratica sensata. In effetti è così sensato che se si desidera utilizzare indirizzi privati ​​in IPv6, è addirittura obbligatorio in RFC 4193 inserire 40 bit casuali nel prefisso.
Kasperd,

9

Un grande vantaggio di non utilizzare l'indirizzamento 192.168.xx è di evitare la sovrapposizione con le reti domestiche degli utenti. Quando si configura la VPN è molto più prevedibile se la propria rete è distinta dalla propria.


2
+1: questo è uno dei due buoni motivi per cambiare (l'altro ha bisogno di più indirizzi nella sottorete).
Richard,


7

(annusa ... annusa) Sento odore ... qualcosa. Sembra provenire dalla direzione della tua azienda IT. Odora di ... baloney.

La commutazione delle sottoreti fornisce, nella migliore delle ipotesi, un foglio di protezione. Non importa che il resto di voi non sia coperto ...

I giorni dei virus hardcoded sono passati da molto tempo e scoprirai che il codice dannoso è abbastanza "intelligente" per guardare la sottorete della macchina infetta e iniziare la scansione da lì.


+1 per la foglia.
msanford,

Inizialmente stavo per dire "codpiece", ma in qualche modo sembrava più robusto del necessario ...
Avery Payne,

6

Direi che non è più sicuro. Se si rompono nel tuo router, mostrerà comunque loro l'intervallo interno.


3

Come ha detto un'altra persona, l'unica buona ragione per cambiare da 192.168.1.x è se si utilizza VPN da router domestici sul lato client. È la ragione per cui ogni rete che gestisco ha una sottorete diversa perché io e i miei computer client facciamo VPN.


2

La mia ipotesi sarebbe che alcuni script exploit drive-by router siano hardcoded per andare a cercare l'indirizzo homerouter standard. Quindi la loro risposta è "sicurezza attraverso l'oscurità" ... tranne che non è oscuro perché a seconda di come funziona lo script, probabilmente ha accesso all'indirizzo del gateway.


2

Davvero, è solo una leggenda urbana.

Comunque, il loro ragionamento potrebbe essere il seguente: supponiamo che l'intervallo 192.168.x.0 / 24 sia usato più comunemente. Quindi, forse, il prossimo presupposto sarà che, se ci fosse un software dannoso su uno dei PC, scansionerebbe l'intervallo 192.168.x.0 / 24 per i computer attivi. Ignorare il fatto che probabilmente utilizzerà un meccanismo incorporato di Windows per il rilevamento della rete.

Ancora una volta - sembra un cultismo del carico per me.


2

Le impostazioni predefinite del produttore sono sempre più sfruttabili in quanto sono le prime opzioni che verranno tentate, ma l'intervallo 10 è anche un intervallo privato molto noto e, se 192.168 non funziona, sarà il prossimo tentato. Chiamerei "toro" su di loro.


2

Entrambi gli intervalli sono indirizzi "privati" e ugualmente noti. Chiedi a qualcun altro di occuparsi del tuo IT.

Sapere quale intervallo di indirizzi usi internamente non ha assolutamente alcun vantaggio. Una volta che qualcuno ha accesso alla tua rete interna, può vedere quali indirizzi usi. Fino a quel punto è una parità di condizioni.


1

Non sono un ragazzo di rete ... ma come persona Linux, non vedo come ciò possa fare la differenza. Scambiare una Classe C interna con un'altra non fa davvero nulla. Se ti trovi sulla rete, otterrai comunque lo stesso accesso indipendentemente dagli indirizzi IP.

Potrebbe esserci una minuscola differenza dal punto di vista delle persone che non sanno cosa stanno facendo portando nei propri router wireless il cui valore predefinito è 192.168.0 / 32. Ma non è davvero più sicuro.


1

Molte delle minacce odierne provengono dall'interno attraverso utenti negligenti che eseguono malware. Anche se potrebbe non offrire molta protezione, non lo respingerei completamente come leggenda urbana.

Si chiamerebbe sicurezza attraverso l'oscurità se la protezione si basasse solo sull'oscurità (come mettere un documento segreto su un server web pubblico con un nome di cartella "casuale"), chiaramente non è così.

Alcuni script possono essere hardcoded per scansionare l'intervallo 192.168.1.x e diffonderne una copia. Un altro motivo pratico è che i router domestici sono generalmente configurati con quell'intervallo, quindi potrebbe essere in conflitto quando si imposta vpn dalle macchine domestiche, a volte causando incidenti.


1

Se un utente malintenzionato è in grado di compromettere la tua rete interna, è in grado di conoscere il tuo raggio IP.

È un po 'così: se l'unica protezione che stai usando è il tuo intervallo di indirizzi IP, posso collegare una macchina non configurata nello switch e apprendere la tua configurazione di rete in un paio di secondi, solo su richiesta ARP. Questo è essenzialmente un lavoro intenso se l'unica ragione dietro è la "sicurezza".

Tutto dolore, nessun guadagno.


0

L'uso di una classe di indirizzamento rispetto a un'altra non offre alcuna sicurezza reale al di là di ciò che è già implementato.

Esistono tre tipi principali di classi di indirizzi IP privatizzate:

Classe A: 10.0.0.0 - 10.255.255.255 Classe B: 172.16.0.0 - 172.31.255.255 Classe C: 192.168.0.0 - 192.168.255.255


3
Sospiro. Il routing basato su classi è stato irrilevante per anni. Quello che intendi realmente è che ci sono tre sottoreti private da usare.
Mark Henderson
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.