Risiko menggunakan alamat IP non-pribadi secara internal?


20

Perusahaan saya telah menerima mesin industri besar dengan banyak perangkat jaringan di dalamnya. Sayangnya insinyur yang bertanggung jawab telah menggunakan rentang alamat IP publik pada mesin. Saya di Eropa. Kisaran alamat yang dipilih adalah milik perusahaan AS. Katakanlah 143.166.0.0 (yang sebenarnya milik Dell).

Mari kita asumsikan saya tidak menghubungkan mesin ke LAN perusahaan kami (untuk saat ini) tetapi saya menghubungkan laptop saya ke perangkat program - katakanlah 143.166.0.1. Katakan juga adaptor jaringan nirkabel laptop saya terhubung ke LAN perusahaan dan karenanya ke Internet. Sekarang saya memiliki dua kemungkinan rute ke dua perangkat yang berbagi alamat. Yang lokal yang saya inginkan dan alamat Dell.

Pertanyaan saya adalah, "Seberapa khawatirkah saya?" Apa yang harus dan akan terjadi dalam kasus ini? Dugaan saya adalah bahwa mesin lokal akan merespons pertama dan bahwa saya mungkin lolos begitu saja tetapi pada akhirnya saya akan digigit. Kebetulan, saya sudah melihat alamat ip publik di komputer lain juga. Tampaknya para insinyur tidak memahami pengalamatan pribadi atau tidak mengharapkan mesin mereka terhubung ke dunia yang lebih luas.

Ada ide / komentar? (Itu tidak melibatkan kekerasan pada insinyur mesin)?

Epilog

Kami menemukan masalah menarik yang memaksa kami mengubah alamat IP menjadi pribadi.

  • Salah satu perangkat di mesin diprogram melalui Internet Explorer menggunakan komponen ActiveX. Perangkat ini akan mencoba untuk mendorong data ke 'pendengar' ActiveX (daripada mode browser yang biasa meminta data dari server jauh).
  • Konfigurasi Active Directory kami mengunduh kebijakan keamanan ke komputer kami saat login. Termasuk dalam kebijakan adalah daftar situs tepercaya. Ini termasuk:
    • Alamat perusahaan yang disetujui.
    • Berbagai alamat eksternal seperti bank kami.
    • Alamat pribadi 192.168.0.0/16, 172.16.0.0/20 dan 10.0.0.0/24.
    • Yang lainnya diblokir.
  • Karena kebijakan keamanan, komponen ActiveX tidak pernah menerima data apa pun karena lalu lintas masuk diblokir oleh kebijakan keamanan!

Ini memaksa saya untuk meminta vendor mengubah alamat menjadi 172.16.0.0. Saya akan tidur lebih mudah.

Terima kasih atas perhatiannya.

Jawaban:


21

Jawaban singkat: Duplikasi alamat publik yang dialokasikan adalah ide yang buruk.

Jawaban yang sedikit lebih lama: Mengesampingkan masalah perutean untuk saat ini, tidak aman untuk mengasumsikan bahwa Anda tidak perlu menjangkau mesin ini dari tempat lain selain kabel yang terhubung langsung, atau bahwa alokasi alamat publik atau pribadi bersifat statis dan tidak akan pernah berubah .

Masalah akses jarak jauh sudah jelas: Internet global berpikir 143.166 / 16 ada di satu tempat, dan Anda ingin berada di tempat lain. Router tidak akan masuk ke mesin Anda.

Dan kepemilikan bisa berubah. Bahkan jika alamat ini tidak diberikan kepada Dell, alamat tersebut dapat dialokasikan untuk mereka di masa mendatang. Dell memang memiliki alamat ini hari ini, tetapi orang lain mungkin besok, dengan rute yang berbeda. Siapa tahu? Organisasi Anda bahkan mungkin membeli blok alamat itu, dengan lebih banyak petualangan perutean.

Intinya: Jangan menganggap IP duplikat dapat dengan aman ditutup selamanya.

Sedangkan untuk perutean, antarmuka kabel Anda akan lebih memilih alamat lokal daripada Dell. Antarmuka kabel Anda akan mengirim permintaan ARP untuk alamat itu dan mendapatkannya langsung dari mesin industri, tidak diperlukan gateway. Setelah itu, paket yang ditujukan ke alamat itu akan menggunakan alamat MAC tujuan mesin industri.

Itu akan berfungsi dengan baik karena Anda hanya menggunakan kabel untuk akses, dan selama Anda tidak perlu menjangkau mesin ini dari tempat lain, dan selama tabel routing global tetap statis.

Itu banyak jika. Lebih baik Anda menghindari masalah dengan menggunakan alamat publik yang unik atau sesuatu di luar kumpulan alamat pribadi.


Kalian benar - Maaf, saya tidak mengerti itu adalah ruang orang lain. Terima kasih.
Pseudocyber

12

Satu-satunya masalah adalah ketidakmampuan untuk berbicara dengan mesin nyata (internet) dengan alamat-alamat itu. Tentu saja, Anda dapat menempatkan firewall ("kotak nat") antara jaringan Anda dan hal ini agar terlihat seperti alamat pribadi ke jaringan Anda.

Hal semacam ini telah muncul di seluruh tempat selama bertahun-tahun karena orang-orang malas dan menggunakan alamat "yang tidak ditugaskan" untuk tujuan mereka sendiri; sekarang mereka ditugaskan, itu menyajikan masalah kecil.

[Sunting: sebagai catatan, saya tidak pernah memberi nomor baru pada jaringan rumah saya. tapi saya tidak akan pernah perlu berbicara dengan orang-orang yang sekarang memiliki ruang alamat itu. 15 tahun dan terus bertambah ...]


5
+1, saya akan menambahkan bahwa ukuran masalahnya tergantung pada seberapa jauh Anda membiarkan alamat-alamat itu masuk ke IGP Anda, dan berapa banyak alamat itu bocor ke seluruh perusahaan Anda. Sayangnya seseorang menambahkan potongan besar AT&T Class A memblokir seluruh IGP kami sebelum saya tiba di sini.
Mike Pennington

8

Pertanyaan saya adalah, "Seberapa khawatirkah saya?" Apa yang harus dan akan terjadi dalam kasus ini? Dugaan saya adalah bahwa mesin lokal akan merespons pertama dan bahwa saya mungkin lolos begitu saja tetapi pada akhirnya saya akan digigit.

Sebagai catatan, ini bukan tentang siapa yang menjawab pertama. Jika Anda memberi komputer Anda alamat di subnet yang sama, lalu lintas akan langsung menuju ke mesin, tidak ada router yang terlibat.

Bahkan jika Anda akan menggunakan perutean, memasukkan rute ke 143.166.0.0/16 pada beberapa router internal di jaringan Anda, mereka akan lebih memilih rute ini daripada rute (default?) Mereka ke internet. Ini terjadi karena "pencocokan awalan terpanjang" lebih disukai, yaitu. rute yang paling spesifik dipilih.

Anda benar tentang hasil bersih, bagian 143.166.0.0/16 dari internet tidak akan dapat dijangkau untuk Anda atau jaringan Anda jika Anda menginstal rute di router internal Anda. / 16 tampaknya agak besar untuk masalah ini, semakin kecil subnet yang Anda gunakan, semakin kecil peluang untuk digigit.


0

Di bawah, adalah jawaban saya yang diedit - yang awalnya tidak mendapatkan bahwa itu bukan "memiliki" ruang IP, melainkan ruang orang lain.

Selama ruang Anda , itu tidak masalah. Alamat IP adalah alamat ip. Aplikasi Anda tidak tahu apa yang pribadi, dan apa yang publik. Jika Anda memiliki ruang, Anda bahkan mungkin memiliki beberapa subnet yang "internal" dan beberapa yang "eksternal" dapat diakses - dapat dikontrol dengan kontrol perutean biasa, firewall, dll.

Semua ruang publik di dalam berarti bahwa Anda tidak perlu khawatir tentang NAT untuk masuk atau keluar dari jaringan Anda.

Jika BUKAN ruang IP Anda sendiri, tetapi milik orang lain, itu secara teknis dapat bekerja. Namun Anda tidak akan pernah dapat mencapai ruang mereka tanpa banyak usaha dan konfigurasi - seperti tunneling, NAT atau NAT ganda, atau routing yang lebih spesifik. Akan lebih baik untuk menyarankan mengatur ulang jaringan Anda, secara tertulis, dan merinci bagaimana melakukannya, bagaimana hal itu dapat dikelola, dll. Dapatkan secara tertulis, maka jika ada masalah, Anda dapat menarik keluar Anda "Saya bilang begitu email ".

Suara turun di bawah ini berasal dari jawaban asli saya, di mana saya salah membaca pertanyaan.

Terimakasih semuanya.


Saya minta maaf tapi saya harus memilih ini, sementara Anda dapat menggunakan ruang alamat orang lain, itu tidak semudah yang Anda katakan.
Mike Pennington

Turunkan suara untuk saya dari "tidak masalah. Mungkin tidak masalah sekarang, tetapi pada akhirnya akan menggigit seseorang ketika paling tidak diharapkan.
generalnetworkerror
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.