มีความเสี่ยงในการใช้ที่อยู่ IP ส่วนตัวหรือไม่

บริษัท ของฉันได้รับเครื่องจักรอุตสาหกรรมขนาดใหญ่ที่มีอุปกรณ์เครือข่ายมากมาย น่าเสียดายที่วิศวกรผู้รับผิดชอบได้ใช้ช่วงที่อยู่ IP สาธารณะบนเครื่อง ฉันอยู่ในยุโรป ช่วงที่อยู่ที่เลือกเป็นของ บริษัท ในสหรัฐอเมริกา สมมติว่าเป็น 143.166.0.0 (ซึ่งจริง ๆ แล้วเป็นของ Dell)

สมมติว่าฉันไม่ได้เชื่อมต่อเครื่องกับ LAN ของ บริษัท ของเรา (ตอนนี้) แต่ฉันจะเชื่อมต่อแล็ปท็อปของฉันเข้ากับโปรแกรมอุปกรณ์ - พูด 143.166.0.1 สมมติว่าอะแดปเตอร์เครือข่ายไร้สายแล็ปท็อปของฉันเชื่อมต่อกับ LAN ของ บริษัท และจากอินเทอร์เน็ต ตอนนี้ฉันมีสองเส้นทางที่เป็นไปได้สำหรับอุปกรณ์สองเครื่องที่แบ่งปันที่อยู่ ท้องถิ่นที่ฉันต้องการและที่อยู่ Dell

คำถามของฉันคือ "ฉันควรเป็นห่วงอย่างไร" สิ่งที่ควรและจะเกิดขึ้นในกรณีนี้? ฉันเดาว่าเครื่องจะตอบกลับก่อนและฉันอาจหนีไปได้ แต่ในที่สุดฉันก็จะถูกกัด บังเอิญฉันได้เห็นที่อยู่ IP สาธารณะในเครื่องอื่น ๆ ด้วย ดูเหมือนว่าวิศวกรอาจไม่เข้าใจที่อยู่ส่วนตัวหรือไม่คาดหวังว่าเครื่องของพวกเขาจะเชื่อมต่อกับโลกกว้าง

ความคิด / ความคิดเห็นใด ๆ (ที่ไม่เกี่ยวข้องกับความรุนแรงต่อวิศวกรเครื่องกล)

ถ้อยคำส

เราพบปัญหาที่น่าสนใจที่บังคับให้เราเปลี่ยนที่อยู่ IP ให้เป็นแบบส่วนตัว

• หนึ่งในอุปกรณ์ในเครื่องได้รับการตั้งโปรแกรมผ่าน Internet Explorer โดยใช้ส่วนประกอบ ActiveX อุปกรณ์นี้จะพยายามส่งข้อมูลไปยัง 'ผู้ฟัง' ของ ActiveX (แทนที่จะเป็นโหมดเบราว์เซอร์ปกติของการขอข้อมูลจากเซิร์ฟเวอร์ระยะไกล)
• การกำหนดค่า Active Directory ของเราจะดาวน์โหลดนโยบายความปลอดภัยไปยังคอมพิวเตอร์ของเราเมื่อเข้าสู่ระบบ รวมอยู่ในนโยบายคือรายการของเว็บไซต์ที่เชื่อถือได้ เหล่านี้รวมถึง:
  • ที่อยู่ บริษัท ที่ได้รับอนุมัติ
  • ที่อยู่ภายนอกหลายแห่งเช่นธนาคารของเรา
  • ที่อยู่ส่วนตัว 192.168.0.0/16, 172.16.0.0/20 และ 10.0.0.0/24
  • ทุกอย่างถูกปิดกั้น
• เนื่องจากนโยบายความปลอดภัยส่วนประกอบ ActiveX ไม่เคยได้รับข้อมูลใด ๆ เนื่องจากปริมาณข้อมูลขาเข้าถูกบล็อกโดยนโยบายความปลอดภัย!

สิ่งนี้ทำให้ฉันต้องให้ผู้ขายเปลี่ยนที่อยู่เป็น 172.16.0.0 ฉันจะนอนหลับง่ายขึ้น

ขอบคุณสำหรับทุกความสนใจ

คำตอบสั้น ๆ : การทำซ้ำที่อยู่สาธารณะที่จัดสรรเป็นความคิดที่ไม่ดี

คำตอบที่ยาวกว่าเล็กน้อย: ทิ้งปัญหาการกำหนดเส้นทางไว้ครู่หนึ่งมันไม่ปลอดภัยที่จะสมมติว่าคุณไม่จำเป็นต้องไปถึงเครื่องนี้จากที่อื่นนอกเหนือจากสายเคเบิลที่ต่อโดยตรงหรือการจัดสรรที่อยู่สาธารณะหรือส่วนตัวนั้นคงที่และจะไม่เปลี่ยนแปลง .

ปัญหาการเข้าถึงระยะไกลนั้นชัดเจน: อินเทอร์เน็ตทั่วโลกคิดว่า 143.166 / 16 อยู่ในที่เดียวและคุณต้องการให้มันอยู่ในที่อื่น เราเตอร์จะไม่ไปที่เครื่องของคุณ

และความเป็นเจ้าของสามารถเปลี่ยนแปลงได้ แม้ว่าที่อยู่นี้ไม่ได้ถูกกำหนดให้กับ Dell แต่ก็สามารถจัดสรรที่อยู่เหล่านี้ได้ในอนาคต Dell มีที่อยู่นี้ในวันนี้ แต่อาจมีคนอื่นในวันพรุ่งนี้ด้วยเส้นทางที่แตกต่าง ใครจะรู้? องค์กรของคุณอาจซื้อบล็อกที่อยู่ด้วยการผจญภัยตามเส้นทางที่กำหนด

บรรทัดล่าง: อย่าสันนิษฐานว่า IP ที่ซ้ำกันนั้นสามารถปิดได้อย่างปลอดภัยตลอดไป

สำหรับการกำหนดเส้นทางส่วนต่อประสานสายของคุณต้องการที่อยู่ในพื้นที่ของ Dell อินเตอร์เฟสแบบมีสายของคุณจะส่งคำขอ ARP ไปยังที่อยู่นั้นและรับโดยตรงจากเครื่องจักรอุตสาหกรรมไม่จำเป็นต้องมีเกตเวย์ หลังจากนั้นแพ็กเก็ตที่กำหนดที่อยู่นั้นจะใช้ที่อยู่ MAC ปลายทางของเครื่องจักรอุตสาหกรรม

สิ่งนี้จะใช้ได้ดีเมื่อคุณใช้สายเคเบิลสำหรับการเข้าถึงเท่านั้นและตราบใดที่คุณไม่จำเป็นต้องไปถึงเครื่องนี้จากที่อื่นและตราบใดที่ตารางเส้นทางทั่วโลกยังคงไม่เปลี่ยนแปลง

นั่นเป็นจำนวนมาก คุณควรหลีกเลี่ยงปัญหานี้ด้วยการใช้ที่อยู่สาธารณะที่ไม่ซ้ำใครหรือสิ่งอื่น ๆ จากกลุ่มที่อยู่ส่วนตัว

ปัญหาเดียวจะไม่สามารถพูดคุยกับเครื่องจริง (อินเทอร์เน็ต) ด้วยที่อยู่เหล่านั้น แน่นอนคุณสามารถใส่ไฟร์วอลล์ ("กล่อง nat") ระหว่างเครือข่ายของคุณและสิ่งนี้เพื่อให้ดูเหมือนเป็นที่อยู่ส่วนตัวในเครือข่ายของคุณ

เรื่องแบบนี้เกิดขึ้นมาแล้วหลายปีเพราะคนขี้เกียจและใช้ที่อยู่ "ไม่ได้กำหนด" เพื่อจุดประสงค์ของพวกเขาเอง ตอนนี้พวกเขาได้รับมอบหมายมันนำเสนอปัญหาเล็ก ๆ

[แก้ไข: สำหรับบันทึกฉันไม่เคยเปลี่ยนหมายเลขเครือข่ายในบ้านของฉัน แต่ฉันไม่น่าจะต้องคุยกับคนที่ตอนนี้มีที่อยู่ว่าง 15 ปีและการนับ ... ]

คำถามของฉันคือ "ฉันควรเป็นห่วงอย่างไร" สิ่งที่ควรและจะเกิดขึ้นในกรณีนี้? ฉันเดาว่าเครื่องจะตอบกลับก่อนและฉันอาจหนีไปได้ แต่ในที่สุดฉันก็จะถูกกัด

ในฐานะที่เป็นข้อความด้านข้างมันไม่เกี่ยวกับผู้ที่ตอบคำถามก่อน หากคุณให้ที่อยู่คอมพิวเตอร์ของคุณในซับเน็ตเดียวกันทราฟฟิกจะตรงไปที่เครื่องไม่มีเราเตอร์ที่เกี่ยวข้อง

แม้ว่าคุณจะใช้การกำหนดเส้นทางการป้อนเส้นทางไปยัง 143.166.0.0/16 ในเราเตอร์ภายในบางเครือข่ายของคุณพวกเขาจะชอบเส้นทางนี้มากกว่าเส้นทาง (ค่าเริ่มต้น) ไปยังอินเทอร์เน็ต สิ่งนี้เกิดขึ้นเพราะต้องการ "การจับคู่คำนำหน้าที่ยาวที่สุด" เช่น เส้นทางที่เจาะจงที่สุดถูกเลือก

ความถูกต้องของคุณเกี่ยวกับผลลัพธ์สุทธิส่วนที่ 143.166.0.0/16 ของอินเทอร์เน็ตจะไม่สามารถเข้าถึงได้สำหรับคุณหรือเครือข่ายของคุณหากคุณติดตั้งเส้นทางในเราเตอร์ภายในของคุณ / 16 ดูเหมือนว่าจะมีขนาดใหญ่ขึ้นเล็กน้อยสำหรับปัญหานี้ยิ่งเครือข่ายย่อยที่คุณกำหนดเส้นทางเล็กลงเท่าใดโอกาสที่จะถูกกัดก็น้อยลง

ด้านล่างนี้เป็นคำตอบที่แก้ไขของฉัน- แต่เดิมไม่ได้รับว่ามันไม่ใช่ "เป็นเจ้าของ" พื้นที่ IP แต่แทนที่จะเป็นพื้นที่ของคนอื่น

ตราบใดที่มันเป็น พื้นที่ของคุณมันก็ไม่สำคัญ ที่อยู่ IP คือที่อยู่ IP แอปพลิเคชันของคุณไม่ทราบว่ามีความเป็นส่วนตัวและอะไรที่เป็นสาธารณะ หากคุณมีพื้นที่ว่างคุณอาจมีซับเน็ตบางส่วนที่เป็น "ภายใน" และบางส่วนที่สามารถเข้าถึงได้ "ภายนอก" ซึ่งสามารถควบคุมได้ด้วยการควบคุมการกำหนดเส้นทางปกติไฟร์วอลล์ ฯลฯ

พื้นที่สาธารณะทั้งหมดภายในหมายความว่าคุณไม่ต้องกังวลเกี่ยวกับ NAT เพื่อเข้าหรือออกจากเครือข่ายของคุณ

หากไม่ใช่พื้นที่ IP ของคุณ แต่เป็นของคนอื่นมันสามารถใช้งานได้ในทางเทคนิค อย่างไรก็ตามคุณจะไม่สามารถเข้าถึงพื้นที่ของพวกเขาได้โดยไม่ต้องใช้ความพยายามและความเชื่อมั่นเป็นพิเศษเช่นการขุดอุโมงค์ NAT หรือ double NAT หรือการกำหนดเส้นทางที่เฉพาะเจาะจงมากขึ้น มันจะเป็นการดีที่สุดที่จะแนะนำให้อ่านเครือข่ายของคุณเป็นลายลักษณ์อักษรและรายละเอียดวิธีที่จะทำวิธีการจัดการ ฯลฯ รับเป็นลายลักษณ์อักษรหากมีปัญหาคุณสามารถดึง "ฉันบอกคุณว่าอีเมล "

คะแนนโหวตด้านล่างมาจากคำตอบดั้งเดิมของฉันซึ่งฉันอ่านคำถามผิด

ขอบคุณทุกคน