192.168.1.x lebih bisa dieksploitasi?


24

Perusahaan layanan TI kami mengusulkan konfigurasi ulang jaringan untuk menggunakan rentang IP 10.10.150.1 - 10.10.150.254 secara internal karena mereka menyatakan skema IP saat ini menggunakan standar pabrikan 192.168.1.x adalah "membuatnya mudah dieksploitasi".

Apakah ini benar? Bagaimana mengetahui / tidak mengetahui skema IP internal membuat jaringan lebih dapat dieksploitasi? Semua sistem internal berada di belakang NAT SonicWall dan router firewall.


Kupikir saya akan menambahkan pertanyaan ini: serverfault.com/questions/33810/... Tampaknya ini menguraikan beberapa masalah yang mungkin Anda miliki jika Anda pergi dengan rute ini.
Joshua Nurczyk

23
Jika Anda tidak memiliki NDA dengan perusahaan layanan TI, dapatkah Anda menyebutkan dan mempermalukan mereka? Maka semua orang di sini dapat menghindari mereka karena kurangnya petunjuk dan keinginan untuk membuat karya yang dapat ditagih yang tidak menghasilkan apa
goo

Tembak mereka, mereka "tidak pintar" ..
dc5553

Jawaban:


55

Ini akan menambah lapisan "keamanan oleh ketidakjelasan" yang sangat tipis, karena 192.168.xy adalah cara alamat jaringan yang lebih umum digunakan untuk jaringan pribadi, tetapi untuk menggunakan alamat internal, penjahat harus sudah ada di dalam jaringan Anda , dan hanya alat serangan paling bodoh yang akan dibodohi oleh skema alamat "tidak standar".

Hampir tidak ada biaya untuk mengimplementasikan ini, dan ia menawarkan hampir tidak ada imbalan.


7
+1 untuk "tidak ada biaya yang menawarkan hampir tidak ada". Saya akan mempertanyakan apakah perubahan seperti itu mungkin tidak lebih menyebalkan dalam nilai $$ daripada nilainya, tetapi jika Anda BENAR-BENAR peduli, BENAR-BENAR khawatir ... silakan dan gunakan rentang IP non-standar. Pastikan untuk mengubah kata sandi dan port router default Anda ... karena jika tidak, itu hanya memalukan. Seringai
KPWINC

23
Tergantung pada ukuran jaringan Anda, saya berpendapat bahwa biayanya jauh lebih besar daripada tidak sama sekali. Jika Anda benar-benar ingin memanggang mie konsultan, katakan padanya bahwa Anda percaya bahwa prediktabilitas adalah fondasi keamanan informasi, dan menerapkan perubahan ini akan membuat jaringan kurang aman karena akan mengharuskan Anda untuk mengubah banyak daftar kontrol akses dan kontrol keamanan teknis lainnya .
dr.pooter

1
Saya setuju dengan dr.pooter yang satu ini. Ini adalah perubahan yang sangat besar untuk infrastruktur Anda, dengan hampir tidak ada manfaat nyata. Untuk lingkungan berukuran sedang dan lebih tinggi, logistik (dan risiko) ini adalah borok.
Scott Pack

1
Kesepakatan lain. Perubahan hanya "tidak ada biaya" pada jaringan DHCP sepenuhnya yang tidak memerlukan alamat IP statis (biasanya berarti tidak ada server di jaringan). Harganya sakit kepala dan banyak waktu sebaliknya.
Joshua Nurczyk

1
+1 Setuju. Saya akan mewaspadai siapa pun yang berusaha keras untuk mengimplementasikan sesuatu demi keamanan semata-mata karena ketidakjelasan.
squillman

30

Kedengarannya seperti kesibukan yang bisa ditagih kepada saya.

Terlepas dari kenyataan bahwa banyak peralatan konsumen menggunakan ruang alamat 192.168.xx (yang dapat dieksploitasi, seperti yang lainnya), saya tidak merasa bahwa itu benar-benar mengubah lanskap keamanan jaringan perusahaan. Hal-hal di dalam terkunci, atau tidak.

Jaga mesin / perangkat Anda pada perangkat lunak / firmware saat ini, ikuti praktik terbaik untuk keamanan jaringan, dan Anda akan berada dalam kondisi yang baik.


13
+1 untuk pengamatan "pekerjaan yang bisa ditagih". Seseorang harus membayar sewa mereka untuk tahun ini dan menjadi kreatif dengan proposal klien mereka. =)
Wesley

+1 Ya, apa yang Nonapeptide katakan
squillman

3
+1 - Mungkin nanti perusahaan alarm pencuri akan menyarankan agar Anda mencoba dan mengecat bagian luar gedung dengan warna kamuflase untuk menangkal pencuri! Keamanan melalui absurditas ...
Evan Anderson

10

Sepertinya perusahaan IT Anda menginginkan pekerjaan yang dapat ditagih kepada saya.

Satu-satunya alasan sah yang dapat saya pikirkan untuk menjauh dari subnet 192.168.0.x atau 192.168.1.x adalah karena kemungkinan hood memiliki subnet yang tumpang tindih dengan klien vpn. Ini bukan tidak mungkin untuk diatasi tetapi menambah beberapa komplikasi dalam pengaturan vpn dan mendiagnosis masalah.


1
Yap, ini adalah satu-satunya alasan saya biasanya memilih jaringan aneh seperti 10.117.1.0/24 untuk kantor yang mungkin memiliki pengguna VPN ke dalamnya.
kashani

@ Kashani Itu adalah praktik yang masuk akal. Jadi masuk akal sebenarnya, bahwa jika Anda ingin menggunakan alamat pribadi di IPv6 bahkan diamanatkan dalam RFC 4193 untuk memasukkan 40 bit acak ke dalam awalan.
kasperd

9

Satu keuntungan besar untuk tidak menggunakan pengalamatan 192.168.xx adalah untuk menghindari tumpang tindih dengan jaringan rumah pengguna. Saat mengatur VPN, jauh lebih mudah diprediksi jika jaringan Anda berbeda dari milik mereka.


2
+1: Ini adalah salah satu dari dua alasan bagus untuk berubah (yang lain membutuhkan lebih banyak alamat di subnet).
Richard


7

(Mengendus ... Mengendus) Aku mencium ... sesuatu. Tampaknya datang dari arah perusahaan IT Anda. Baunya seperti ... omong kosong.

Switching subnet memberikan, paling banter, ara dari perlindungan. Nevermind sisanya dari Anda tidak tercakup ...

Masa-masa virus dengan kode keras sudah lama berlalu, dan Anda akan mendapati bahwa kode berbahaya "cukup" untuk melihat subnet mesin yang terinfeksi, dan mulai memindai dari sana.


+1 untuk figleaf.
msanford

Aku awalnya akan mengatakan "codpiece", tapi entah bagaimana yang terdengar lebih kuat daripada perlu ...
Avery Payne

6

Saya akan mengatakan itu tidak lebih aman. Jika mereka membobol router Anda, itu akan menunjukkan kepada mereka rentang internal.


3

Seperti kata orang lain, satu-satunya alasan bagus untuk berubah dari 192.168.1.x adalah jika Anda menggunakan VPN dari router rumah di sisi klien. Itulah alasan setiap jaringan yang saya kelola memiliki subnet yang berbeda karena saya dan mesin klien saya melakukan VPN.


2

Dugaan saya adalah bahwa beberapa skrip exploit drive-by router di-hardcoded untuk mencari alamat homerouter standar. Jadi tanggapan mereka adalah "keamanan melalui ketidakjelasan" ... kecuali itu tidak jelas karena tergantung pada cara kerja skrip, mungkin memiliki akses ke alamat gateway.


2

Sungguh, itu hanya legenda urban.

Bagaimanapun, alasan mereka mungkin sebagai berikut: menganggap, bahwa kisaran 192.168.x.0 / 24 digunakan lebih umum. Kemudian, mungkin, asumsi berikutnya adalah, bahwa, jika ada perangkat lunak berbahaya pada salah satu PC itu akan memindai kisaran 192.168.x.0 / 24 untuk komputer aktif. Abaikan fakta, bahwa itu mungkin akan menggunakan beberapa mekanisme bawaan Windows untuk penemuan jaringan.

Sekali lagi - kedengarannya seperti kultus kargo bagi saya.


2

Default pabrikan selalu lebih dapat dieksploitasi karena merupakan opsi pertama yang akan dicoba, tetapi kisaran 10 juga merupakan rentang privat yang sangat terkenal, dan - jika 192.168 tidak berfungsi - akan menjadi yang berikutnya dicoba. Saya akan memanggil "banteng" pada mereka.


2

Kedua rentang adalah alamat "pribadi" dan sama-sama terkenal. Dapatkan orang lain untuk merawat IT Anda.

Mengetahui rentang alamat mana yang Anda gunakan secara internal sama sekali tidak ada manfaatnya. Setelah seseorang memiliki akses ke jaringan internal Anda, mereka dapat melihat alamat apa yang Anda gunakan. Hingga saat itu, ini adalah arena permainan yang merata.


1

Saya bukan orang jaringan ... tetapi sebagai orang Linux, saya tidak melihat bagaimana itu akan membuat perbedaan. Menukar satu internal Kelas C ke yang lain tidak benar-benar melakukan apa-apa. Jika Anda berada di jaringan, Anda akan tetap mendapatkan akses yang sama terlepas dari apa alamat IP-nya.

Mungkin ada perbedaan kecil dari perspektif orang yang tidak tahu apa yang mereka lakukan dengan membawa router nirkabel mereka sendiri yang secara default akan menjadi 192.168.0 / 32. Tapi itu benar-benar tidak lebih aman.


1

Banyak ancaman hari ini datang dari dalam melalui pengguna yang ceroboh yang mengeksekusi malware. Meskipun mungkin tidak menawarkan banyak perlindungan, saya tidak akan sepenuhnya menganggapnya sebagai legenda urban.

Ini akan disebut keamanan melalui ketidakjelasan jika perlindungan bergantung pada ketidakjelasan itu sendiri (seperti meletakkan dokumen rahasia di server web publik dengan nama folder "acak"), ini jelas bukan masalahnya.

Beberapa skrip mungkin hardcoded untuk memindai kisaran 192.168.1.x dan menyebar salinannya sendiri. Alasan praktis lainnya adalah bahwa router rumah biasanya dikonfigurasikan dengan kisaran itu, sehingga mungkin bertentangan ketika Anda mengatur vpn dari mesin rumah, kadang-kadang menyebabkan kecelakaan.


1

Jika penyerang berada dalam posisi untuk membahayakan jaringan internal Anda, mereka berada dalam posisi untuk mengetahui jangkauan IP Anda.

Ini seperti ini: Jika satu-satunya perlindungan yang Anda gunakan adalah rentang alamat IP Anda, saya dapat memasukkan mesin yang tidak dikonfigurasi ke sakelar dan mempelajari konfigurasi jaringan Anda dalam beberapa detik, hanya dengan permintaan ARP. Ini pada dasarnya adalah pekerjaan yang sibuk jika satu-satunya alasan di baliknya adalah "keamanan".

Semua rasa sakit, tidak ada untungnya.


0

Menggunakan satu kelas pengalamatan atas yang lain tidak menawarkan keamanan nyata di atas dan di luar apa yang sudah diterapkan.

Ada tiga jenis utama kelas alamat IP yang diprivatisasi:

Kelas A: 10.0.0.0 - 10.255.255.255 Kelas B: 172.16.0.0 - 172.31.255.255 Kelas C: 192.168.0.0 - 192.168.255.255


3
Mendesah. Routing berbasis kelas telah tidak relevan selama bertahun-tahun. Yang Anda maksud sebenarnya adalah bahwa ada tiga subnet pribadi untuk digunakan.
Mark Henderson
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.