192.168.1.x có thể khai thác nhiều hơn?

24

Công ty dịch vụ CNTT của chúng tôi đang đề xuất cấu hình lại mạng để sử dụng dải IP 10.10.150.1 - 10.10.150.254 trong khi họ nêu sơ đồ IP hiện tại bằng cách sử dụng mặc định của nhà sản xuất 192.168.1.x là "làm cho nó dễ khai thác".

Điều này có đúng không? Làm thế nào để biết / không biết sơ đồ IP nội bộ làm cho một mạng có thể khai thác nhiều hơn? Tất cả các hệ thống nội bộ đều đứng sau bộ định tuyến SonicWall NAT và tường lửa.

networking  tcpip  hacking 
Michael Glenn
nguồn
Tôi nghĩ rằng tôi sẽ thêm câu hỏi này: serverfault.com/questions/33810/ hiện Có vẻ như điều này nêu ra một số vấn đề bạn có thể gặp phải nếu bạn đi theo con đường này.
Joshua Nurc:
23
Nếu bạn không có NDA với công ty dịch vụ CNTT, bạn có thể đặt tên và xấu hổ cho họ không? Sau đó, mọi người ở đây có thể tránh họ do thiếu đầu mối và mong muốn tạo ra công việc có thể thanh toán mà không đạt được gì
goo
Hãy sa thải

Câu trả lời:

55

Điều này sẽ bổ sung tối đa một lớp "bảo mật bằng cách che khuất" rất mỏng, vì 192.168.xy là một cách sử dụng địa chỉ mạng phổ biến hơn cho các mạng riêng, nhưng để sử dụng các địa chỉ nội bộ, các kẻ xấu phải ở trong mạng của bạn và chỉ những công cụ tấn công ngu ngốc nhất mới bị đánh lừa bởi sơ đồ địa chỉ "không chuẩn".

Chi phí gần như không có gì để thực hiện điều này, và nó cung cấp gần như không có gì bù lại.

Sven
nguồn
7
+1 cho "chi phí không có gì cung cấp gần như không có gì". Tôi muốn hỏi liệu một thay đổi như vậy có thể không gây đau khổ cho một $$ hơn giá trị của nó hay không nhưng nếu bạn THỰC SỰ, THẬT SỰ quan tâm ... hãy tiếp tục và sử dụng dải IP không chuẩn. Chỉ cần chắc chắn thay đổi mật khẩu và cổng bộ định tuyến mặc định của bạn ... bởi vì nếu không thì nó chỉ gây bối rối. cười toe toét
KPWINC
23
Tùy thuộc vào kích thước mạng của bạn, tôi cho rằng chi phí lớn hơn nhiều so với không có gì. Nếu bạn thực sự muốn nướng mì chuyên gia tư vấn, hãy nói với anh ấy rằng bạn tin rằng khả năng dự đoán là nền tảng của bảo mật thông tin và việc thực hiện thay đổi này sẽ khiến mạng kém an toàn hơn vì nó sẽ yêu cầu bạn thay đổi nhiều danh sách kiểm soát truy cập và kiểm soát bảo mật kỹ thuật khác .
dr.pooter
1
Tôi đồng ý với dr.pooter về điều này. Đây là một thay đổi rất lớn đối với cơ sở hạ tầng của bạn, gần như không có lợi ích thực sự. Đối với một môi trường có kích thước trung bình và cao hơn, hậu cần (và rủi ro) của điều này là gây loét.
Scott Pack
1
Một thỏa thuận khác. Thay đổi chỉ "không có chi phí" trên mạng DHCP hoàn toàn không yêu cầu địa chỉ IP tĩnh (thường có nghĩa là không có máy chủ trên mạng). Nó chi phí đau đầu và rất nhiều thời gian khác.
Joshua Nurc:
1
Đồng ý +1. Tôi sẽ cảnh giác với bất kỳ ai đi vào thời gian dài để thực hiện một cái gì đó cho mục đích duy nhất là bảo mật bằng cách tối nghĩa.
squillman
30

Âm thanh như bận rộn hóa đơn cho tôi.

Ngoài thực tế là nhiều thiết bị tiêu dùng sử dụng không gian địa chỉ 192.168.xx (có thể được khai thác, giống như mọi thứ khác), tôi không cảm thấy điều đó thực sự thay đổi cục diện bảo mật của mạng công ty. Những thứ bên trong bị khóa, hoặc chúng không.

Giữ máy / thiết bị của bạn trên phần mềm / chương trình cơ sở hiện tại, tuân theo các thực tiễn tốt nhất để bảo mật mạng và bạn sẽ ở trong tình trạng tốt.

Geoff Fritz
nguồn
13
+1 cho quan sát "công việc bận rộn có thể tính hóa đơn". Ai đó cần phải trả tiền thuê của họ trong năm và sáng tạo với các đề xuất khách hàng của họ. =)
Wesley
+1 Vâng, những gì Nonapeptide đã nói
squillman
3
+1 - Có lẽ tiếp theo công ty báo trộm sẽ đề nghị bạn thử và sơn bên ngoài tòa nhà bằng màu sắc ngụy trang để xua đuổi kẻ trộm! An ninh thông qua sự vô lý ...
Evan Anderson
10

Âm thanh như công ty CNTT của bạn muốn một số công việc có thể thanh toán cho tôi.

Lý do chính đáng duy nhất tôi có thể nghĩ đến để tránh xa các mạng con 192.168.0.x hoặc 192.168.1.x là do khả năng có các mạng con chồng chéo với các máy khách vpn. Điều này không phải là không thể làm việc xung quanh nhưng có thêm một số phức tạp để thiết lập các vấn đề và chẩn đoán vpn.

3dinfluence
nguồn
1
Đúng, đây là lý do duy nhất tôi thường chọn các mạng lạ như 10.117.1.0/24 cho các văn phòng có thể có người dùng VPN vào chúng.
kashani
@kashani Đó là một thực tế hợp lý. Trên thực tế, rất hợp lý, nếu bạn muốn sử dụng địa chỉ riêng trong IPv6, thậm chí bắt buộc phải có trong RFC 4193 để đặt 40 bit ngẫu nhiên vào tiền tố.
kasperd
9

Một lợi thế lớn cho việc không sử dụng địa chỉ 192.168.xx là tránh trùng lặp với mạng gia đình của người dùng. Khi thiết lập VPN, sẽ dễ dự đoán hơn rất nhiều nếu mạng của bạn khác với mạng của họ.

Cawflands
nguồn
2
+1: Đây là một trong hai lý do tốt để thay đổi (lý do khác là cần thêm địa chỉ trong mạng con).
Richard
8

Tôi không nghĩ rằng điều này có khả năng.
Bất kỳ khai thác nào có giá trị trọng lượng của nó sẽ được sử dụng cả ba phạm vi mạng con riêng tư để quét.

Dưới đây là một số tài liệu tham khảo cho CNTT của bạn,

nik
nguồn
7

(ngửi ... ngửi) Tôi ngửi thấy ... một cái gì đó. Nó dường như đến từ hướng của công ty CNTT của bạn. Mùi như ... baloney.

Chuyển đổi mạng con cung cấp, tốt nhất, một con số bảo vệ. Không bao giờ phần còn lại của bạn không được bảo hiểm ...

Thời của virus mã hóa đã qua rất lâu và bạn sẽ thấy rằng mã độc là "thông minh" đủ để xem mạng con của máy bị nhiễm và bắt đầu quét từ đó.

Avery Payne
nguồn
+1 cho figleaf.
msanford
Ban đầu tôi định nói "tiền mã hóa", nhưng bằng cách nào đó nghe có vẻ chắc chắn hơn mức cần thiết ...
Avery Payne
6

Tôi sẽ nói nó không an toàn hơn. Nếu họ đột nhập vào bộ định tuyến của bạn, nó sẽ hiển thị cho họ mọi cách.

Jack B nhanh nhẹn
nguồn
3

Như một người khác đã nói, chỉ có lý do chính đáng để thay đổi từ 192.168.1.x là nếu bạn đang sử dụng VPN từ các bộ định tuyến gia đình ở phía máy khách. Đó là lý do mỗi mạng tôi quản trị có một mạng con khác nhau vì tôi và các máy khách của tôi làm VPN.

người khổng lồ
nguồn
2

Tôi đoán là một số tập lệnh khai thác bộ định tuyến ổ đĩa được mã hóa cứng để xem địa chỉ homerouter tiêu chuẩn. Vì vậy, phản hồi của họ là "bảo mật thông qua che khuất" ... ngoại trừ nó không tối nghĩa bởi vì tùy thuộc vào cách thức hoạt động của tập lệnh, nó có thể có quyền truy cập vào địa chỉ cổng.

Tom Ritter
nguồn
2

Thực sự, nó chỉ là một truyền thuyết đô thị.

Dù sao, lý luận của họ có thể như sau: giả sử rằng phạm vi 192.168.x.0 / 24 được sử dụng phổ biến hơn. Sau đó, có lẽ, giả định tiếp theo sẽ là, có một phần mềm độc hại trên một trong các PC mà nó sẽ quét phạm vi 192.168.x.0 / 24 cho các máy tính hoạt động. Bỏ qua thực tế, rằng nó có thể sẽ sử dụng một số cơ chế tích hợp Windows để khám phá mạng.

Một lần nữa - nó có vẻ như tôn giáo hàng hóa đối với tôi.

thần thái
nguồn
2

Mặc định của nhà sản xuất luôn có thể khai thác nhiều hơn vì chúng là các tùy chọn đầu tiên sẽ được thử, nhưng phạm vi 10 cũng là phạm vi riêng tư rất nổi tiếng và - nếu 192.168 không hoạt động - sẽ là lựa chọn tiếp theo. Tôi sẽ gọi "bò" trên chúng.

Maximus Minimus
nguồn
2

Cả hai phạm vi là địa chỉ "riêng tư" và nổi tiếng như nhau. Hãy nhờ người khác chăm sóc CNTT của bạn.

Biết phạm vi địa chỉ bạn sử dụng trong nội bộ là hoàn toàn không có lợi thế. Khi ai đó có quyền truy cập vào mạng nội bộ của bạn, họ có thể xem địa chỉ bạn sử dụng. Cho đến thời điểm đó, nó là một sân chơi bình đẳng.

John Gardeniers
nguồn
1

Tôi không phải là một anh chàng mạng ... nhưng là một người Linux, tôi không thấy điều đó sẽ tạo ra sự khác biệt như thế nào. Hoán đổi một lớp C nội bộ sang một lớp khác không thực sự làm gì cả. Nếu bạn ở trên mạng, bạn vẫn sẽ có quyền truy cập tương tự bất kể địa chỉ IP là gì.

Có thể có một sự khác biệt nhỏ từ quan điểm của những người không biết những gì họ đang làm mang theo bộ định tuyến không dây của riêng họ sẽ mặc định là 192.168.0 / 32. Nhưng nó thực sự không còn an toàn nữa.

Alex
nguồn
1

Nhiều mối đe dọa ngày nay đến từ bên trong thông qua người dùng bất cẩn thực thi phần mềm độc hại. Mặc dù nó có thể không cung cấp nhiều sự bảo vệ, tôi sẽ không hoàn toàn coi đó là truyền thuyết đô thị.

Nó sẽ được gọi là bảo mật thông qua che khuất nếu bảo vệ chỉ dựa vào che khuất (như đặt tài liệu bí mật trên máy chủ web công cộng với tên thư mục "ngẫu nhiên"), điều này rõ ràng không phải là trường hợp.

Một số tập lệnh có thể được mã hóa cứng để quét phạm vi 192.168.1.x và trải rộng bản sao của chính nó. Một lý do thực tế khác là các bộ định tuyến gia đình thường được cấu hình với phạm vi đó, vì vậy nó có thể xung đột khi bạn thiết lập vpn từ các máy gia đình, đôi khi gây ra tai nạn.

Nô-ê
nguồn
1

Nếu kẻ tấn công đang ở vị trí để thỏa hiệp mạng nội bộ của bạn, họ sẽ ở vị trí để biết phạm vi IP của bạn.

Nó giống như thế này: Nếu bảo vệ duy nhất bạn đang sử dụng là dải địa chỉ IP của bạn, tôi có thể cắm một máy chưa được định cấu hình vào công tắc và tìm hiểu cấu hình mạng của bạn trong vài giây, chỉ bằng các yêu cầu ARP. Đây thực chất là công việc bận rộn nếu lý do duy nhất đằng sau nó là "bảo mật".

Không có khổ luyện sẽ không đạt được mục đích.

Matt Simmons
nguồn
0

Sử dụng một lớp địa chỉ trên một lớp khác cung cấp không có bảo mật thực sự ở trên và ngoài những gì đã được thực hiện.

Có ba loại chính của các lớp địa chỉ IP được tư nhân hóa:

Lớp A: 10.0.0.0 - 10.255.255.255 Lớp B: 172.16.0.0 - 172.31.255.255 Lớp C: 192.168.0.0 - 192.168.255.255

xe trượt tuyết
nguồn
3
Thở dài. Định tuyến dựa trên lớp đã không liên quan trong nhiều năm. Những gì bạn thực sự có nghĩa là có ba mạng con riêng để sử dụng.
Mark Henderson
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.