Rủi ro khi sử dụng địa chỉ IP không riêng tư trong nội bộ?


20

Công ty của tôi đã nhận được một máy công nghiệp lớn với nhiều thiết bị nối mạng trên đó. Thật không may, kỹ sư phụ trách đã sử dụng dải địa chỉ IP công cộng trên máy. Tôi đang ở Châu Âu. Phạm vi địa chỉ được chọn thuộc về một công ty Hoa Kỳ. Giả sử đó là 143.166.0.0 (thực sự thuộc về Dell).

Giả sử tôi không kết nối máy với mạng LAN của công ty chúng tôi (hiện tại) nhưng tôi kết nối máy tính xách tay của mình với nó để lập trình một thiết bị - giả sử 143.166.0.1. Chúng ta cũng nói rằng bộ điều hợp mạng không dây máy tính xách tay của tôi được kết nối với mạng LAN của công ty và do đó với Internet. Bây giờ tôi có hai tuyến có thể đến hai thiết bị có chung địa chỉ. Địa phương tôi muốn và địa chỉ Dell.

Câu hỏi của tôi là "Tôi nên lo lắng như thế nào?" Điều gì nên và sẽ xảy ra trong trường hợp này? Tôi đoán là máy cục bộ sẽ phản hồi trước và tôi có thể thoát khỏi nó nhưng cuối cùng tôi sẽ bị cắn. Ngẫu nhiên, tôi cũng thấy các địa chỉ IP công cộng trên các máy khác. Có vẻ như các kỹ sư không hiểu địa chỉ riêng tư hoặc không hy vọng máy của họ được kết nối với thế giới rộng lớn hơn.

Bất kỳ ý tưởng / ý kiến? (điều đó không liên quan đến bạo lực đối với kỹ sư máy móc)?

Phần kết

Chúng tôi đã tìm thấy một vấn đề thú vị khiến chúng tôi buộc phải thay đổi địa chỉ IP thành riêng tư.

  • Một trong các thiết bị trên máy được lập trình qua Internet Explorer bằng thành phần ActiveX. Thiết bị này sẽ cố gắng đẩy dữ liệu đến 'trình nghe' ActiveX (thay vì chế độ yêu cầu dữ liệu thông thường của trình duyệt từ máy chủ từ xa).
  • Cấu hình Active Directory của chúng tôi tải các chính sách bảo mật vào máy tính của chúng tôi khi đăng nhập. Bao gồm trong chính sách là danh sách các trang web đáng tin cậy. Bao gồm các:
    • Địa chỉ công ty được phê duyệt.
    • Địa chỉ bên ngoài khác nhau như ngân hàng của chúng tôi.
    • Địa chỉ riêng 192.168.0.0/16, 172.16.0.0/20 và 10.0.0.0/24.
    • Mọi thứ khác đều bị chặn.
  • Do chính sách bảo mật, thành phần ActiveX không bao giờ nhận được bất kỳ dữ liệu nào vì lưu lượng đến bị chặn bởi chính sách bảo mật!

Điều này đã buộc tôi phải yêu cầu nhà cung cấp thay đổi địa chỉ thành 172.16.0.0. Tôi sẽ ngủ dễ hơn.

Cảm ơn tất cả sự quan tâm.

Câu trả lời:


21

Câu trả lời ngắn: Sao chép địa chỉ công cộng được phân bổ là một ý tưởng tồi.

Câu trả lời dài hơn một chút: Tạm gác lại các vấn đề định tuyến, không an toàn khi cho rằng bạn sẽ không bao giờ cần đến máy này từ một nơi nào khác ngoài cáp được gắn trực tiếp hoặc phân bổ địa chỉ công cộng hoặc riêng tư là tĩnh và sẽ không bao giờ thay đổi .

Các vấn đề truy cập từ xa rất rõ ràng: Internet toàn cầu cho rằng 143.166 / 16 nằm ở một nơi và bạn muốn nó ở một nơi khác. Bộ định tuyến sẽ không đến máy của bạn.

Và quyền sở hữu có thể thay đổi. Ngay cả khi địa chỉ này không được gán cho Dell, nó có thể được phân bổ cho họ trong tương lai. Dell có địa chỉ này ngày hôm nay, nhưng người khác có thể vào ngày mai, với một lộ trình khác. Ai biết? Tổ chức của bạn thậm chí có thể mua khối địa chỉ đó, với những cuộc phiêu lưu định tuyến thậm chí nhiều hơn.

Điểm mấu chốt: Đừng cho rằng các IP trùng lặp có thể bị chặn vĩnh viễn.

Đối với định tuyến, giao diện có dây của bạn sẽ thích địa chỉ cục bộ hơn Dell. Giao diện có dây của bạn sẽ gửi yêu cầu ARP cho địa chỉ đó và nhận trực tiếp từ máy công nghiệp, không cần cổng. Sau đó, các gói đến địa chỉ đó sẽ sử dụng địa chỉ MAC đích của máy công nghiệp.

Điều đó sẽ hoạt động tốt khi bạn chỉ sử dụng cáp để truy cập và miễn là bạn không bao giờ cần phải tiếp cận máy này từ nơi nào khác và miễn là bảng định tuyến toàn cầu vẫn tĩnh.

Đó là rất nhiều ifs. Tốt hơn hết là bạn nên tránh vấn đề bằng cách sử dụng một địa chỉ công cộng duy nhất hoặc một cái gì đó ngoài nhóm địa chỉ riêng.


Các bạn nói đúng - tôi xin lỗi, tôi không hiểu đó là không gian của người khác. Cảm ơn.
Pseudocyber

12

Vấn đề duy nhất sẽ là không thể nói chuyện với các máy (internet) thực với các địa chỉ đó. Tất nhiên, bạn có thể đặt tường lửa ("hộp tự nhiên") giữa mạng của mình và thứ này để làm cho nó trông giống như địa chỉ riêng tư trong mạng của bạn.

Loại điều này đã xuất hiện ở khắp mọi nơi trong nhiều năm do mọi người lười biếng và sử dụng địa chỉ "không được chỉ định" cho mục đích riêng của họ; Bây giờ họ đã được chỉ định, nó đưa ra một vấn đề nhỏ.

[Chỉnh sửa: để ghi lại, tôi không bao giờ đánh số lại mạng gia đình của mình. nhưng tôi không cần phải nói chuyện với những người hiện có không gian địa chỉ đó. 15 năm và đếm ...]


5
+1, tôi sẽ nói thêm rằng quy mô của vấn đề phụ thuộc vào mức độ bạn để những địa chỉ đó vào IGP của bạn và bao nhiêu địa chỉ đó bị rò rỉ cho phần còn lại của công ty bạn. Đáng buồn thay, ai đó đã thêm các khối lớn của Lớp A của AT & T trên khắp IGP của chúng tôi trước khi tôi đến đây.
Mike Pennington

8

Câu hỏi của tôi là "Tôi nên lo lắng như thế nào?" Điều gì nên và sẽ xảy ra trong trường hợp này? Tôi đoán là máy cục bộ sẽ phản hồi trước và tôi có thể thoát khỏi nó nhưng cuối cùng tôi sẽ bị cắn.

Như một lưu ý phụ, nó không phải là về người trả lời đầu tiên. Nếu bạn cung cấp cho máy tính của mình một địa chỉ trong cùng mạng con, lưu lượng sẽ đi thẳng vào máy, không có bộ định tuyến nào liên quan.

Ngay cả khi bạn sẽ sử dụng định tuyến, nhập tuyến đến 143.166.0.0/16 trên một số bộ định tuyến nội bộ trong mạng của bạn, họ sẽ thích tuyến này hơn tuyến (mặc định?) Của họ với internet. Điều này xảy ra bởi vì "kết hợp tiền tố dài nhất" được ưu tiên, nghĩa là. con đường cụ thể nhất được chọn.

Bạn đúng về kết quả thực, phần 143.166.0.0/16 của internet sẽ không thể truy cập được cho bạn hoặc mạng của bạn nếu bạn cài đặt tuyến đường trong bộ định tuyến nội bộ của mình. / 16 có vẻ hơi lớn đối với vấn đề này, mạng con bạn định tuyến đến càng nhỏ, cơ hội bị cắn càng nhỏ.


0

Dưới đây, là câu trả lời đã được chỉnh sửa của tôi - ban đầu không hiểu rằng đó không phải là không gian IP "được sở hữu", mà thay vào đó là không gian của người khác.

Miễn là không gian của bạn , nó không thành vấn đề. Địa chỉ IP là địa chỉ IP. Các ứng dụng của bạn không biết những gì riêng tư và những gì công khai. Nếu bạn có không gian, bạn thậm chí có thể có một số mạng con "bên trong" và một số mạng "bên ngoài" có thể truy cập - có thể điều khiển bằng các điều khiển định tuyến, tường lửa, v.v.

Tất cả không gian công cộng ở bên trong có nghĩa là bạn không phải lo lắng về việc NAT sẽ vào hay ra khỏi mạng của bạn.

Nếu đó không phải là không gian IP của riêng bạn, mà là của người khác, thì về mặt kỹ thuật nó có thể hoạt động. Tuy nhiên, bạn sẽ không bao giờ có thể tiếp cận không gian của họ mà không cần nhiều nỗ lực và giới hạn - chẳng hạn như đường hầm, NAT hoặc NAT kép hoặc định tuyến cụ thể hơn. Tốt nhất là đề xuất tái lập mạng của bạn, bằng văn bản và chi tiết cách thực hiện, cách quản lý, v.v. Hãy viết bằng văn bản, sau đó nếu có vấn đề, bạn có thể rút ra "Tôi đã nói với bạn như vậy email ".

Các phiếu bầu dưới đây là từ câu trả lời ban đầu của tôi, trong đó tôi đọc sai câu hỏi.

Cảm ơn mọi người.


Tôi xin lỗi nhưng tôi phải bỏ phiếu này, trong khi bạn có thể sử dụng không gian địa chỉ của người khác, điều đó không dễ như bạn nói.
Mike Pennington

Bỏ phiếu từ tôi vì "nó không thành vấn đề. Bây giờ nó có thể không quan trọng, nhưng cuối cùng nó sẽ cắn ai đó khi ít mong đợi nhất.
generalnetworkerror
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.