192.168.1.x ใช้ประโยชน์ได้มากกว่าหรือไม่


24

บริษัท ผู้ให้บริการด้านไอทีของเรากำลังเสนอการกำหนดค่าเครือข่ายใหม่เพื่อใช้ช่วง IP 10.10.150.1 - 10.10.150.254 ภายในเนื่องจากพวกเขาระบุรูปแบบ IP ปัจจุบันโดยใช้ค่าเริ่มต้นของผู้ผลิตที่ 192.168.1.x คือ "ทำให้ง่ายต่อการใช้ประโยชน์"

มันเป็นเรื่องจริงเหรอ? การรู้ / ไม่ทราบว่ารูปแบบ IP ภายในทำให้เครือข่ายใช้ประโยชน์ได้มากขึ้นอย่างไร ระบบภายในทั้งหมดอยู่เบื้องหลัง SonicWall NAT และเราเตอร์ไฟร์วอลล์


คิดว่าฉันจะเพิ่มคำถามนี้: serverfault.com/questions/33810/… ดูเหมือนว่านี่จะแสดงปัญหาบางอย่างที่คุณอาจมีหากคุณต้องไปเส้นทางนี้
Joshua Nurczyk

23
หากคุณไม่มี NDA กับ บริษัท ที่ให้บริการด้าน IT คุณสามารถตั้งชื่อและทำให้พวกเขาอับอายได้หรือไม่? จากนั้นทุกคนที่นี่สามารถหลีกเลี่ยงพวกเขาเพราะพวกเขาขาดของเงื่อนงำและความปรารถนาที่จะสร้างงานที่เรียกเก็บเงินที่ประสบความสำเร็จอะไร
สารที่หนา

ไล่พวกเขาออกเป็น "ไม่ฉลาด" ..
dc5553

คำตอบ:


55

สิ่งนี้จะเพิ่มเลเยอร์ที่บางที่สุดของ "การรักษาความปลอดภัยด้วยความคลุมเครือ" เนื่องจาก 192.168.xy เป็นที่อยู่เครือข่ายที่ใช้กันทั่วไปสำหรับเครือข่ายส่วนตัว แต่เพื่อที่จะใช้ที่อยู่ภายในเด็กเลวต้องอยู่ในเครือข่ายของคุณแล้ว และเฉพาะเครื่องมือโจมตีที่โง่ที่สุดเท่านั้นที่จะถูกหลอกโดยชุดรูปแบบที่อยู่ "ที่ไม่ได้มาตรฐาน"

มันแทบไม่มีค่าใช้จ่ายใด ๆ ในการดำเนินการนี้และแทบไม่ได้ผลตอบแทนอะไรเลย


7
+1 สำหรับ "ไม่มีค่าใช้จ่ายไม่มีข้อเสนอเกือบทั้งหมด" ฉันสงสัยว่าการเปลี่ยนแปลงดังกล่าวอาจจะไม่เจ็บปวดใน a $$ มากกว่ามูลค่าของมันหรือไม่ แต่ถ้าคุณเป็นจริงคุณกังวลจริงๆ ... ไปข้างหน้าและใช้ช่วง IP ที่ไม่ได้มาตรฐาน อย่าลืมเปลี่ยนรหัสผ่านและพอร์ตเริ่มต้นของเราเตอร์ ... เพราะไม่เช่นนั้นมันน่าอาย ยิ้ม
KPWINC

23
ขึ้นอยู่กับขนาดของเครือข่ายของคุณฉันขอยืนยันว่าค่าใช้จ่ายนั้นสูงกว่าอะไร หากคุณต้องการอบก๋วยเตี๋ยวที่ปรึกษาจริงๆให้บอกเขาว่าคุณเชื่อว่าการคาดการณ์เป็นพื้นฐานของความปลอดภัยของข้อมูลและการใช้การเปลี่ยนแปลงนี้จะทำให้เครือข่ายมีความปลอดภัยน้อยลงเพราะจะทำให้คุณต้องเปลี่ยนรายการควบคุมการเข้าถึงจำนวนมาก .
dr.pooter

1
ฉันเห็นด้วยกับ dr.pooter ในอันนี้ นี่เป็นการเปลี่ยนแปลงโครงสร้างพื้นฐานขนาดใหญ่ของคุณโดยไม่ต้องได้รับประโยชน์อะไรเลย สำหรับสภาพแวดล้อมขนาดกลางและสูงกว่าโลจิสติกส์ (และความเสี่ยง) ของสิ่งนี้เป็นแผลที่เรียก
Scott Pack

1
ข้อตกลงอื่น การเปลี่ยนแปลงเพียง "ไม่มีค่าใช้จ่าย" ในเครือข่าย DHCP ที่สมบูรณ์ซึ่งไม่จำเป็นต้องมีที่อยู่ IP แบบคงที่ (โดยทั่วไปจะไม่มีเซิร์ฟเวอร์ในเครือข่าย) มันปวดหัวและเสียเวลาอย่างมาก
Joshua Nurczyk

1
+1 เห็นด้วย ฉันจะระวังใครก็ตามที่พยายามทำอะไรบางอย่างเพื่อจุดประสงค์ด้านความปลอดภัยเพียงอย่างเดียวโดยความคลุมเครือ
squillman

30

เสียงเหมือนงานยุ่งที่เรียกเก็บเงินได้สำหรับฉัน

นอกเหนือจากความจริงที่ว่าเครื่องใช้ของผู้บริโภคจำนวนมากใช้พื้นที่ที่อยู่ 192.168.xx (ซึ่งสามารถใช้ประโยชน์ได้เช่นเดียวกับสิ่งอื่น) ฉันไม่รู้สึกว่าการเปลี่ยนแปลงแนวความปลอดภัยของเครือข่ายองค์กร สิ่งที่อยู่ภายในถูกล็อคหรือไม่

รักษาเครื่อง / อุปกรณ์ของคุณกับซอฟต์แวร์ / เฟิร์มแวร์ปัจจุบันปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดเพื่อความปลอดภัยของเครือข่ายและคุณจะอยู่ในสภาพดี


13
+1 สำหรับการสังเกต "งานยุ่งที่เรียกเก็บเงินได้" บางคนต้องจ่ายค่าเช่าสำหรับปีและสร้างสรรค์ด้วยข้อเสนอของลูกค้า =)
Wesley

+1 ใช่สิ่งที่ Nonapeptide พูด
squillman

3
+1 - ต่อไปอาจเป็น บริษัท เตือนภัยผู้บุกรุกที่จะแนะนำให้คุณลองทาสีภายนอกอาคารด้วยสีอำพรางเพื่อกันขโมย! ความปลอดภัยผ่านเรื่องไร้สาระ ...
Evan Anderson

10

ดูเหมือนว่า บริษัท ไอทีของคุณต้องการให้ฉันทำงานได้

เหตุผลที่ถูกต้องเหตุผลเดียวที่ฉันคิดว่าจะอยู่ห่างจากเครือข่ายย่อย 192.168.0.x หรือ 192.168.1.x เกิดจากความน่าจะเป็นที่จะมีเครือข่ายย่อยทับซ้อนกับไคลเอนต์ VPN นี่เป็นไปไม่ได้ที่จะหลีกเลี่ยง แต่จะเพิ่มความซับซ้อนในการตั้งค่า VPN และการวินิจฉัยปัญหา


1
ใช่นี่คือเหตุผลเดียวที่ฉันมักจะเลือกเครือข่ายแปลก ๆ เช่น 10.117.1.0/24 สำหรับสำนักงานที่อาจมีผู้ใช้ VPN เข้าไปอยู่
kashani

@kashani นั่นเป็นการฝึกฝนที่สมเหตุสมผล ดังนั้นในความเป็นจริงแล้วหากคุณต้องการใช้ที่อยู่ส่วนตัวใน IPv6 แม้จะได้รับคำสั่งจากRFC 4193ให้ใส่ 40 บิตสุ่มลงในคำนำหน้า
kasperd

9

ข้อดีอย่างหนึ่งของการไม่ใช้ที่อยู่ 192.168.xx คือหลีกเลี่ยงการทับซ้อนกับเครือข่ายในบ้านของผู้ใช้ เมื่อตั้งค่า VPN จะสามารถคาดการณ์ได้มากขึ้นหากเครือข่ายของคุณแตกต่างจากของพวกเขา


2
+1: นี่เป็นหนึ่งในสองเหตุผลที่ดีในการเปลี่ยนแปลง (อีกรายการหนึ่งต้องการที่อยู่เพิ่มเติมในเครือข่ายย่อย)
ริชาร์ด

8

ฉันไม่คิดว่ามันจะเป็นไปได้
การหาผลประโยชน์ที่มีน้ำหนักของมันจะใช้ช่วงซับเน็ตส่วนตัวทั้งสามช่วงเพื่อสแกน

นี่คือข้อมูลอ้างอิงสำหรับ IT ของคุณ


7

(สูดกลิ่น ... ดมกลิ่น) ฉันได้กลิ่น ... บางอย่าง ดูเหมือนว่ามาจากทิศทางของ บริษัท ไอทีของคุณ มีกลิ่นเหมือน ... baloney

การสลับซับเน็ตจะให้การป้องกันที่ดีที่สุด ไม่ต้องห่วงส่วนที่เหลือของคุณไม่ได้รับการคุ้มครอง ...

จำนวนวันของไวรัสที่เข้ารหัสยากนั้นผ่านมานานและคุณจะพบว่ารหัสที่เป็นอันตรายนั้น "ฉลาด" พอที่จะมองไปที่ซับเน็ตของเครื่องที่ติดไวรัสและเริ่มการสแกนจากที่นั่น


+1 สำหรับ figleaf
msanford

ฉันแรกจะพูดว่า "codpiece" แต่อย่างใดที่แข็งแรงฟังกว่าจำเป็นต้อง ...
เอเวอรี่เพน

6

ฉันจะบอกว่ามันไม่ปลอดภัย หากพวกเขาบุกเข้าไปในเราเตอร์ของคุณมันจะแสดงช่วงภายในต่อไป


3

ในฐานะที่เป็นบุคคลอื่นกล่าวว่าเหตุผลที่ดีในการเปลี่ยนจาก 192.168.1.x คือหากคุณใช้ VPN จากเราเตอร์ที่บ้านทางฝั่งไคลเอ็นต์ นี่คือเหตุผลที่ทุกเครือข่ายที่ฉันดูแลมีเครือข่ายย่อยที่แตกต่างกันเพราะฉันและเครื่องไคลเอนต์ของฉันใช้ VPN


2

ฉันเดาว่าสคริปต์การใช้ประโยชน์จากเราเตอร์บางตัวนั้นฮาร์ดโค้ดเพื่อไปดูที่อยู่มาตรฐาน ดังนั้นการตอบสนองของพวกเขาคือ "ความปลอดภัยผ่านความคลุมเครือ" ... ยกเว้นว่าจะไม่คลุมเครือเพราะขึ้นอยู่กับวิธีการทำงานของสคริปต์มันอาจมีการเข้าถึงที่อยู่เกตเวย์


2

จริงๆมันเป็นเพียงตำนานเมือง

อย่างไรก็ตามเหตุผลของพวกเขาอาจจะเป็นดังนี้: สมมติว่าช่วง 192.168.x.0 / 24 มีการใช้กันมากขึ้น จากนั้นบางทีข้อสันนิษฐานต่อไปคือว่ามีซอฟต์แวร์ที่เป็นอันตรายในพีซีเครื่องใดเครื่องหนึ่งซึ่งจะสแกนช่วง 192.168.x.0 / 24 สำหรับคอมพิวเตอร์ที่ใช้งานอยู่ ไม่สนใจข้อเท็จจริงที่ว่ามันอาจจะใช้กลไก Windows ในตัวสำหรับการค้นหาเครือข่าย

อีกครั้ง - ฟังดูเหมือนลัทธิขนถ่ายสินค้าสำหรับฉัน


2

ค่าเริ่มต้นของผู้ผลิตมักจะใช้ประโยชน์ได้มากกว่าเนื่องจากเป็นตัวเลือกแรกที่จะพยายามใช้ แต่ช่วง 10 นั้นเป็นช่วงส่วนตัวที่รู้จักกันดีและ - หาก 192.168 ใช้งานไม่ได้ - จะลองอีกครั้ง ฉันจะเรียกว่า "วัว" กับพวกเขา


2

ทั้งสองช่วงเป็นที่อยู่ "ส่วนตัว" และรู้จักกันดี รับคนอื่นมาดูแลไอทีของคุณ

การทราบช่วงที่อยู่ที่คุณใช้ภายในนั้นไม่มีประโยชน์อย่างแน่นอน เมื่อมีคนเข้าถึงเครือข่ายภายในของคุณพวกเขาสามารถดูที่อยู่ที่คุณใช้ จนถึงจุดนั้นมันเป็นสนามเด็กเล่นในระดับ


1

ฉันไม่ใช่คนเครือข่าย ... แต่ในฐานะคนลินุกซ์ฉันไม่เห็นว่ามันจะสร้างความแตกต่างได้อย่างไร การสลับ Class C ภายในหนึ่งไปยังอีกอันหนึ่งไม่ได้ทำอะไรเลย หากคุณอยู่ในเครือข่ายคุณจะยังคงได้รับการเข้าถึงเดียวกันโดยไม่คำนึงถึงที่อยู่ IP

อาจมีความแตกต่างเล็กน้อยจากมุมมองของคนที่ไม่รู้ว่าพวกเขากำลังทำอะไรอยู่ในการนำเราเตอร์ไร้สายของตัวเองที่จะเริ่มต้นที่ 192.168.0 / 32 แต่มันไม่ปลอดภัยอีกต่อไป


1

ภัยคุกคามในปัจจุบันจำนวนมากมาจากภายในโดยผ่านผู้ใช้ที่ไม่ประมาทในการเรียกใช้มัลแวร์ แม้ว่ามันอาจจะไม่ได้รับการปกป้องมากนักแต่ฉันก็ไม่ได้มองว่ามันเป็นตำนานของเมืองเลย

มันจะถูกเรียกว่าการรักษาความปลอดภัยผ่านความสับสนหากการป้องกันอาศัยความสับสนเพียงอย่างเดียว (เช่นการใส่เอกสารลับบนเว็บเซิร์ฟเวอร์สาธารณะที่มีชื่อโฟลเดอร์ "สุ่ม") นี่ไม่ใช่กรณีที่ชัดเจน

สคริปต์บางตัวอาจถูก hardcoded เพื่อสแกนช่วง 192.168.1.x และกระจายสำเนาของตัวเอง อีกเหตุผลที่เป็นประโยชน์คือโดยทั่วไปแล้วเราเตอร์ภายในบ้านจะถูกกำหนดค่าด้วยช่วงนั้นดังนั้นจึงอาจขัดแย้งกันเมื่อคุณตั้งค่า vpn จากเครื่องที่บ้านซึ่งบางครั้งทำให้เกิดอุบัติเหตุ


1

หากผู้โจมตีอยู่ในตำแหน่งที่จะโจมตีเครือข่ายภายในของคุณพวกเขาจะสามารถทราบช่วง IP ของคุณได้

มันเป็นเช่นนี้: หากการป้องกันเพียงอย่างเดียวที่คุณใช้คือช่วงที่อยู่ IP ของคุณฉันสามารถเสียบเครื่องที่ไม่ได้กำหนดค่าลงในสวิตช์และเรียนรู้การกำหนดค่าเครือข่ายของคุณในไม่กี่วินาทีโดย ARP ร้องขอ นี่คืองานยุ่งเป็นหลักถ้าเหตุผลเดียวที่อยู่เบื้องหลังคือ "ความปลอดภัย"

ความเจ็บปวดทั้งหมดไม่ได้ผล


0

การใช้ที่อยู่หนึ่งคลาสกับอีกข้อเสนอหนึ่งไม่มีความปลอดภัยจริง ๆ

คลาสของที่อยู่ IP แบบส่วนตัวมีสามประเภท:

คลาส A: 10.0.0.0 - 10.255.255.255 คลาส B: 172.16.0.0 - 172.31.255.255 คลาส C: 192.168.0.0 - 192.168.255.255


3
ถอนหายใจ การกำหนดเส้นทางจากคลาสไม่เกี่ยวข้องมานานหลายปี สิ่งที่คุณหมายถึงคือมีเครือข่ายส่วนตัวสามเครือข่ายให้ใช้งาน
Mark Henderson
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.