192.168.1.x mais explorável?


24

Nossa empresa de serviços de TI está propondo uma reconfiguração de rede para usar o intervalo de IP 10.10.150.1 - 10.10.150.254 internamente, pois declara o atual esquema de IP usando os padrões do fabricante 192.168.1.x "facilitando a exploração".

Isso é verdade? Como o conhecimento / não conhecimento do esquema de IP interno torna uma rede mais explorável? Todos os sistemas internos estão protegidos por um roteador de firewall e NAT da SonicWall.


Pensei em acrescentar esta pergunta: serverfault.com/questions/33810/… Parece que isso descreve alguns problemas que você pode ter se seguir essa rota.
30711 Joshua Nurczyk

23
Se você não possui um NDA na empresa de serviços de TI, pode nomear e envergonhá-lo? Então, todo mundo aqui pode evitá-los devido à sua falta de pista e um desejo de criar um trabalho cobrável que atinge nada
goo

Demiti-los eles são "não inteligente" ..
dc5553

Respostas:


55

Isso adicionará, na melhor das hipóteses, uma camada muito fina de "segurança pela obscuridade", já que 192.168.xy é um endereço de rede mais comumente usado para redes privadas, mas, para usar os endereços internos, os bad boys precisam estar dentro da sua rede. , e apenas as ferramentas de ataque mais estúpidas serão enganadas pelo esquema de endereços "não padrão".

Não custa quase nada implementar isso e oferece quase nada em troca.


7
+1 para "não custa nada oferece quase nada". Eu questionaria se essa mudança pode não ser mais problemática no a $$ do que vale, mas se você estiver realmente preocupado, vá em frente e use um intervalo de IP não padrão. Apenas certifique-se de alterar as senhas e portas padrão do roteador ... porque, caso contrário, é apenas embaraçoso. sorria
KPWINC

23
Dependendo do tamanho da sua rede, eu argumentaria que o custo é muito maior que nada. Se você realmente deseja assar o macarrão dos consultores, diga a ele que você acredita que a previsibilidade é uma base de segurança da informação e a implementação dessa alteração tornará a rede menos segura, pois exigirá que você altere muitas listas de controle de acesso e outros controles técnicos de segurança .
dr.pooter

1
Eu concordo com o dr.pooter neste. Essa é uma mudança muito grande na sua infraestrutura, com quase nenhum benefício real. Para um ambiente de tamanho médio e superior, a logística (e os riscos) disso são invocadores de úlcera.
Scott Pacote

1
Outro acordo. A alteração apenas "não custa nada" em uma rede completamente DHCP que não requer endereços IP estáticos (geralmente significa que não há servidores na rede). Custa dores de cabeça e muito tempo de outra forma.
30713 Joshua Nurczyk

1
+1 Concordado. Eu seria cauteloso com quem se esforça para implementar algo com o único objetivo de segurança pela obscuridade.
squillman

30

Parece trabalho ocupado faturável para mim.

Além do fato de muitos aparelhos de consumo usarem o espaço de endereço 192.168.xx (que pode ser explorado como qualquer outra coisa), não acho que isso realmente mude o cenário de segurança de uma rede corporativa. As coisas lá dentro estão trancadas ou não.

Mantenha suas máquinas / dispositivos com o software / firmware atual, siga as práticas recomendadas de segurança de rede e você estará em boa forma.


13
+1 para a observação "trabalho faturável". Alguém precisa pagar o aluguel do ano e foi criativo com as propostas dos clientes. =)
Wesley

+1 Sim, o que nonapeptide disse
squillman

3
+1 - Talvez a próxima empresa de alarme contra roubo sugira que você tente pintar o exterior do edifício em cores de camuflagem para afastar os assaltantes! Segurança através absurdo ...
Evan Anderson

10

Parece que sua empresa de TI quer um trabalho faturável para mim.

A única razão legítima em que posso pensar em ficar longe das sub-redes 192.168.0.x ou 192.168.1.x deve-se ao provável problema de haver sub-redes sobrepostas com clientes vpn. Isso não é impossível de contornar, mas adiciona algumas complicações à configuração de VPNs e ao diagnóstico de problemas.


1
Sim, esse é o único motivo pelo qual geralmente escolho redes estranhas como 10.117.1.0/24 para escritórios que podem ter usuários VPN neles.
21413 kashani

@kashani Essa é uma prática sensata. Tão sensato, de fato, que, se você deseja usar endereços particulares no IPv6, é obrigatório, no RFC 4193, colocar 40 bits aleatórios no prefixo.
kasperd

9

Uma grande vantagem de não usar o endereçamento 192.168.xx é evitar a sobreposição com as redes domésticas dos usuários. Ao configurar a VPN, é muito mais previsível se sua rede for distinta da deles.


2
+1: esse é um dos dois bons motivos para mudar (o outro está precisando de mais endereços na sub-rede).
Richard


7

(cheira ... cheira) Cheira ... alguma coisa. Parece estar vindo da direção da sua empresa de TI. Cheira a ... bobagem.

A sub-rede de comutação fornece, na melhor das hipóteses, uma folha de proteção. Esqueça o resto de vocês não está coberto ...

Os dias de vírus codificados passaram há muito tempo e você verá que o código malicioso é "inteligente" o suficiente para examinar a sub-rede da máquina infectada e começar a digitalizar a partir daí.


+1 para figleaf.
31530 msanford

Eu estava indo inicialmente para dizer "tapa-sexo", mas de alguma forma que mais resistente parecia que o necessário ...
Avery Payne

6

Eu diria que não é mais seguro. Se eles invadirem o seu roteador, ele mostrará o alcance interno de qualquer maneira.


3

Como outra pessoa disse, apenas uma boa razão para mudar de 192.168.1.x é se você estiver usando VPN de roteadores domésticos no lado do cliente. É o motivo pelo qual todas as redes que administro têm uma sub-rede diferente, porque eu e minhas máquinas clientes fazemos VPN.


2

Meu palpite seria que alguns scripts de exploração do roteador drive-by são codificados para ir ao endereço padrão do roteador doméstico. Portanto, a resposta deles é "segurança através da obscuridade" ... exceto que não é obscura porque, dependendo de como o script funciona, ele provavelmente tem acesso ao endereço do gateway.


2

Realmente, é apenas uma lenda urbana.

De qualquer forma, seu raciocínio pode ser o seguinte: suponha que o intervalo 192.168.x.0 / 24 seja usado com mais frequência. Então, talvez, a próxima suposição seja que, caso existisse um software malicioso em um dos PCs, ele examinaria a faixa 192.168.x.0 / 24 em busca de computadores ativos. Desconsidere o fato de que ele provavelmente usaria algum mecanismo interno do Windows para descoberta de rede.

Mais uma vez - me parece um cultismo de carga.


2

Os padrões do fabricante são sempre mais exploráveis, pois são as primeiras opções que serão tentadas, mas o intervalo 10 também é um intervalo privado muito conhecido e - se 192.168 não funcionar - será o próximo a ser tentado. Eu chamaria de "touro" neles.


2

Ambos os intervalos são endereços "particulares" e são igualmente conhecidos. Peça a alguém para cuidar da sua TI.

Saber qual o intervalo de endereços que você usa internamente não tem absolutamente nenhuma vantagem. Quando alguém tiver acesso à sua rede interna, poderá ver quais endereços você usa. Até esse ponto, é uma igualdade de condições.


1

Eu não sou um cara de rede ... mas, como pessoa do Linux, não vejo como isso faria alguma diferença. Trocar uma classe C interna para outra realmente não faz nada. Se você estiver na rede, ainda terá o mesmo acesso, independentemente do endereço IP.

Pode haver uma pequena diferença da perspectiva de pessoas que não sabem o que estão fazendo, trazendo seus próprios roteadores sem fio que teriam como padrão 192.168.0 / 32. Mas não é realmente mais seguro.


1

Muitas das ameaças de hoje vêm de dentro através de usuários descuidados que executam malware. Embora possa não oferecer muita proteção, eu não a descartaria completamente como lenda urbana.

Seria chamado segurança através da obscuridade se a proteção dependesse apenas da obscuridade (como colocar um documento secreto em um servidor público da Web com nome de pasta "aleatório"), isso claramente não é o caso.

Alguns scripts podem ser codificados para varrer o intervalo 192.168.1.x e espalhar sua própria cópia. Outro motivo prático é que os roteadores domésticos geralmente são configurados com esse intervalo, portanto, pode entrar em conflito quando você configura a VPN a partir das máquinas domésticas, às vezes causando acidentes.


1

Se um invasor está em posição de comprometer sua rede interna, está em posição de conhecer seu alcance de IP.

É mais ou menos assim: se a única proteção que você está usando é o seu intervalo de endereços IP, posso conectar uma máquina não configurada ao comutador e aprender sua configuração de rede em alguns segundos, apenas mediante solicitações de ARP. Isso é essencialmente trabalhoso, se a única razão por trás disso é "segurança".

Toda dor, sem ganho.


0

Usar uma classe de endereçamento em detrimento de outra não oferece segurança real acima e além do que já está implementado.

Existem três tipos principais de classes de endereço IP privatizadas:

Classe A: 10.0.0.0 - 10.255.255.255 Classe B: 172.16.0.0 - 172.31.255.255 Classe C: 192.168.0.0 - 192.168.255.255


3
Suspiro. O roteamento baseado em classe é irrelevante há anos. O que você realmente quer dizer é que existem três sub-redes privadas para uso.
Mark Henderson
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.