Özel olmayan IP adreslerini dahili olarak kullanmanın riskleri?

Şirketim, üzerinde birçok ağa bağlı cihaz bulunan büyük bir endüstriyel makine aldı. Ne yazık ki, sorumlu mühendis makinede genel bir IP adresi aralığı kullanmıştır. Avrupa'dayım. Seçilen adres aralığı bir ABD şirketine aittir. Diyelim ki 143.166.0.0 (aslında Dell'e ait).

Diyelim ki makineyi şirket LAN'ımıza bağlamıyorum (şimdilik) ama dizüstü bilgisayarımı bir cihazı programlamak için bağladım - örneğin 143.166.0.1. Diyelim ki dizüstü kablosuz ağ bağdaştırıcım şirketin LAN'ına ve dolayısıyla internete bağlı. Şimdi bir adresi paylaşan iki cihaza iki olası yolum var. İstediğim yerel adres ve Dell adresi.

Sorum şu: "Ne kadar endişeli olmam gerekir?" Bu durumda ne olmalı ve ne olurdu? Benim tahminim, yerel makine ilk cevap verecekti ve ben onunla kurtulmak olabilir ama sonunda ısırılır. Bu arada, diğer makinelerde de genel IP adresleri gördüm. Mühendisler ya özel adreslemeyi anlamıyor ya da makinelerinin daha geniş dünyaya bağlanmasını beklemiyor gibi görünüyor.

Herhangi bir fikir / yorumunuz var mı? (makine mühendisine şiddet içermeyen)?

son söz

Bizi IP adreslerini özel olarak değiştirmeye zorlayan ilginç bir sorun bulduk.

• Makinedeki cihazlardan biri, bir ActiveX bileşeni kullanılarak Internet Explorer üzerinden programlanır. Bu cihaz, verileri ActiveX 'dinleyicisine' aktarmaya çalışacaktır (uzak bir sunucudan veri isteme normal tarayıcı modu yerine).
• Active Directory yapılandırmamız güvenlik politikalarını oturum açarken bilgisayarlarımıza indirir. Politikaya güvenilen sitelerin listesi dahildir. Bunlar:
  • Onaylanmış şirket adresleri.
  • Bankamız gibi çeşitli dış adresler.
  • Özel adresler 192.168.0.0/16, 172.16.0.0/20 ve 10.0.0.0/24.
  • Diğer her şey engellendi.
• Güvenlik ilkesi nedeniyle, gelen trafik güvenlik ilkesi tarafından engellendiğinden ActiveX bileşeni hiçbir zaman veri almamıştır!

Bu beni satıcının adresleri 172.16.0.0 olarak değiştirmesini sağladı. Daha kolay uyuyacağım.

Tüm ilginiz için teşekkürler.

Kısa cevap: Tahsis edilen genel adreslerin kopyalanması kötü bir fikirdir.

Biraz daha uzun cevap: Şu an için yönlendirme sorunlarını bir kenara bırakarak, doğrudan bu kablodan başka bir yerden bu makineye asla ulaşmanız gerekmeyeceğini veya genel veya özel adres tahsislerinin statik olduğunu ve asla değişmeyeceğini varsaymak güvenli değildir. .

Uzaktan erişim sorunları açıktır: Küresel İnternet 143.166 / 16'nın bir yerde olduğunu düşünüyor ve başka bir yerde olmasını istiyorsunuz. Yönlendiriciler makinenize gitmez.

Ve sahiplik değişebilir. Bu adres Dell'e atanmamış olsa bile, ileride kendilerine tahsis edilebilir. Dell'in bugün bu adresi var, ancak başka biri yarın farklı bir yolla olabilir. Kim bilir? Kuruluşunuz daha fazla yönlendirme macerasıyla bu adres bloğunu bile satın alabilir.

Alt satır: Yinelenen IP'lerin sonsuza kadar güvenle kaldırılabileceğini varsaymayın.

Yönlendirme konusunda, kablolu arayüzünüz Dell'lere göre yerel adresi tercih eder. Kablolu arabiriminiz, bu adres için bir ARP isteği gönderir ve doğrudan endüstriyel makineden alır, ağ geçidi gerekmez. Daha sonra, bu adrese gönderilen paketler endüstriyel makinenin hedef MAC adresini kullanır.

Bu, yalnızca erişim için bir kablo kullandığınız ve bu makineye asla başka bir yerden erişmeniz gerekmediği ve global yönlendirme tablosu statik kaldığı sürece iyi çalışır.

Bu bir sürü ifs. Benzersiz bir genel adres veya özel adres havuzunun dışında bir şey kullanarak sorundan kaçınmanız daha iyi olur.

Tek sorun, gerçek (internet) makinelerle bu adreslerle konuşamamak olacak. Tabii ki, ağınızla özel adresler gibi görünmesi için ağınız ile bu şey arasına bir güvenlik duvarı ("nat kutusu") koyabilirsiniz.

Bu tür şeyler, insanların tembel olmaları ve "atanmamış" adresleri kendi amaçları için kullanmaları nedeniyle uzun yıllar boyunca her yerde ortaya çıktı; şimdi onlar atandı, küçük bir sorun sunuyor.

[Düzenle: kayıt için, ev ağımı asla yeniden numaralandırmadım. ancak şu anda bu adres alanına sahip kişilerle konuşmam gerekmiyor. 15 yıl ve artıyor ...]

Sorum şu: "Ne kadar endişelenmeliyim?" Bu durumda ne olmalı ve ne olurdu? Benim tahminim, yerel makine ilk cevap verecekti ve ben onunla kurtulmak olabilir ama sonunda ısırılır.

Bir yan not olarak, ilk kimin cevap verdiğiyle ilgili değildir. Bilgisayarınıza aynı alt ağda bir adres verirseniz, trafik doğrudan makineye gider, yönlendirici dahil değildir.

Ağınızdaki bazı dahili yönlendiricilere 143.166.0.0/16 yolunu girerek yönlendirmeyi kullansanız bile, bu yolu Internet'e (varsayılan?) Yollarından tercih ederler. Bunun nedeni, "en uzun önek eşleşmesi" nin tercih edilmesidir, yani. en spesifik rota seçilir.

Net sonuçla ilgili doğru olan İnternet'in 143.166.0.0/16 kısmı, rotayı dahili yönlendiricilerinize yüklerseniz sizin veya ağınız için erişilemez olacaktır. / 16 bu sorun için biraz büyük görünüyor, yönlendirdiğiniz alt ağ ne kadar küçükse, ısırılma şansı o kadar küçük olur.

Aşağıda, düzenlenmiş cevabım var - ki bu aslında "sahip olunan" IP alanı değil, bir başkasının alanı değildi.

Sizin alanınız olduğu sürece önemli değil. IP adresi bir IP adresidir. Uygulamalarınız neyin özel, neyin genel olduğunu bilmiyor. Alanınız varsa, "dahili" ve bazıları "harici" olarak erişilebilen - normal yönlendirme kontrolleri, güvenlik duvarları vb. İle kontrol edilebilen bazı alt ağlarınız bile olabilir.

İçerideki tüm kamusal alan, ağınıza girip çıkmak için NAT hakkında endişelenmenize gerek olmadığı anlamına gelir.

Kendi IP alanınız DEĞİL, ancak başka birinin alanı ise, teknik olarak çalışabilir. Bununla birlikte, tünelleme, NAT veya çift NAT veya daha spesifik yönlendirme gibi fazladan çaba ve gizlilik olmadan alanlarına asla ulaşamayacaksınız. Ağınızı yeniden okumayı, yazılı olarak ve nasıl yapılacağını, nasıl yönetilebileceğini vb. Detaylandırmak en iyisi olacaktır. Yazılı olarak alın, o zaman herhangi bir sorun varsa, " ".

Aşağıdaki aşağı oylama, cevabımı yanlış okuduğum orijinal cevabımdan alındı.

Herkese teşekkürler.