Indirizzo RFC 1918 su Internet aperto?

18

Nel tentativo di diagnosticare un problema di failover con i firewall Cisco ASA 5520, ho eseguito un traceroute su www.btfl.com e, con mia grande sorpresa, alcuni dei salti sono tornati come indirizzi RFC 1918.

Per essere chiari, questo host non è protetto dal mio firewall e non è coinvolta alcuna VPN. Devo connettermi a Internet aperto per arrivarci.

Come / perché è possibile?

asa# traceroute www.btfl.com

Tracing the route to 157.56.176.94

 1  <redacted>
 2  <redacted>
 3  <redacted>
 4  <redacted>
 5  nap-edge-04.inet.qwest.net (67.14.29.170) 0 msec 10 msec 10 msec
 6  65.122.166.30 0 msec 0 msec 10 msec
 7  207.46.34.23 10 msec 0 msec 10 msec
 8   *  *  *
 9  207.46.37.235 30 msec 30 msec 50 msec
 10 10.22.112.221 30 msec
    10.22.112.219 30 msec
    10.22.112.223 30 msec
 11 10.175.9.193 30 msec 30 msec
    10.175.9.67 30 msec
 12 100.94.68.79 40 msec
    100.94.70.79 30 msec
    100.94.71.73 30 msec
 13 100.94.80.39 30 msec
    100.94.80.205 40 msec
    100.94.80.137 40 msec
 14 10.215.80.2 30 msec
    10.215.68.16 30 msec
    10.175.244.2 30 msec
 15  *  *  *
 16  *  *  *
 17  *  *  *

e fa la stessa cosa dalla mia connessione FiOS a casa:

C:\>tracert www.btfl.com

Tracing route to www.btfl.com [157.56.176.94]
over a maximum of 30 hops:

  1     1 ms    <1 ms    <1 ms  myrouter.home [192.168.1.1]
  2     8 ms     7 ms     8 ms  <redacted>
  3    10 ms    13 ms    11 ms  <redacted>
  4    12 ms    10 ms    10 ms  ae2-0.TPA01-BB-RTR2.verizon-gni.net [130.81.199.82]
  5    16 ms    16 ms    15 ms  0.ae4.XL2.MIA19.ALTER.NET [152.63.8.117]
  6    14 ms    16 ms    16 ms  0.xe-11-0-0.GW1.MIA19.ALTER.NET [152.63.85.94]
  7    19 ms    16 ms    16 ms  microsoft-gw.customer.alter.net [63.65.188.170]
  8    27 ms    33 ms     *     ge-5-3-0-0.ash-64cb-1a.ntwk.msn.net [207.46.46.177]
  9     *        *        *     Request timed out.
 10    44 ms    43 ms    43 ms  207.46.37.235
 11    42 ms    41 ms    40 ms  10.22.112.225
 12    42 ms    43 ms    43 ms  10.175.9.1
 13    42 ms    41 ms    42 ms  100.94.68.79
 14    40 ms    40 ms    41 ms  100.94.80.193
 15     *        *        *     Request timed out.
routing  rfc 
collo lungo
fonte

Risposte:

11

È possibile che i router si connettano tra loro utilizzando RFC1918 o altri indirizzi privati, e in effetti questo è molto comune per cose come collegamenti punto-punto e qualsiasi instradamento che avviene all'interno di un AS.

Solo i gateway di confine su una rete necessitano effettivamente di indirizzi IP instradabili pubblicamente affinché il routing funzioni. Se l'interfaccia di un router non si connette ad altri AS (o ad altri provider di servizi, più semplicemente), non è necessario pubblicizzare il percorso su Internet e solo le apparecchiature appartenenti alla stessa entità dovranno connettersi direttamente al interfaccia.

Che i pacchetti ritornino in questo modo in traceroute è una leggera violazione di RFC1918, ma in realtà non è necessario usare NAT per questi dispositivi poiché non si collegano a cose arbitrarie su Internet stesse; passano semplicemente lungo il traffico.

Il fatto che il traffico segua il percorso (possibilmente tortuoso) attraverso diverse organizzazioni che lo fa è semplicemente una conseguenza del funzionamento dei protocolli di routing del gateway esterno. Sembra perfettamente ragionevole che Microsoft abbia un po 'di spina dorsale e alcune persone ci abbiano guardato; non è necessario essere un ISP all'ingrosso per instradare il traffico.

Il fatto che il traffico abbia attraversato più serie di router con IP privati, transitando tra quelli con IP pubblici nel mezzo, non è particolarmente strano - indica semplicemente (in questo caso) due diverse reti lungo il percorso che hanno instradato il traffico attraverso i propri router che hanno scelto di numerare in questo modo.

Falcon Momot
fonte
16

Non solo RFC 1918 ... anche RFC 6598 , ovvero 100.64.0.0/10spazio CGN. Entrambe sono reti private, ma quest'ultima è più recentemente standardizzata e meno conosciuta.

Questo non è insolito dal punto di vista del traceroute. In realtà non stai parlando direttamente con gli host 10space e 100space, ma stai inviando pacchetti con TTL incrementalmente più grandi al tuo router hop successivo. Per evitare che la risposta diventi troppo lunga, questo link di Wikipedia riassume il processo.

Ciò che è insolito è che questo pacchetto attraversa lo spazio IP pubblico e viene quindi tunnel attraverso lo spazio IP privato per raggiungere nuovamente una rete "pubblica". 157.56.176.94è di proprietà di Microsoft e il pacchetto attraversa le reti di proprietà di MS prima di colpire la rete privata ... quindi è semplicemente ciò che Microsoft sceglie di fare con il proprio spazio di rete su entrambe le estremità dello spazio privato. Pubblicizzano i percorsi; gli altri router fanno semplicemente quello che viene loro detto.

Come regola generale, no, gli operatori di rete generalmente non espongono le loro reti private lungo un percorso verso lo spazio IP pubblico dall'esterno della loro rete. Ecco perché è così insolito.

(potrebbe essere un percorso mancante da qualche parte sul loro confine, facendo sì che i pacchetti attraversino un percorso non ottimale che alla fine raggiunge la sua destinazione, ma io non sono un ragazzo di rete e qualcuno probabilmente può prenderlo meglio)

Andrew B
fonte
1
La maggior parte delle implementazioni traceroute si basano su UDP + ICMP man mano che l'articolo prosegue.
dmourati,
@dmourati Come amministratore di Unix, sono costretto a arrossire. Duh. Grazie.
Andrew B,
Nella mia esperienza, questo non è affatto insolito. Molti gestori utilizzano 10.0.0.0/8 all'interno della propria rete e ne espongono una quantità inquietante.
Paul Gear,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.