Unser IT-Dienstleister schlägt eine Netzwerk-Neukonfiguration vor, um den IP-Bereich 10.10.150.1 - 10.10.150.254 intern zu verwenden, da das aktuelle IP-Schema mit den Herstellervorgaben 192.168.1.x "die Ausnutzung zu einfach macht".
Ist das wahr? Wie kann ein Netzwerk besser ausgenutzt werden, wenn man das interne IP-Schema kennt oder nicht kennt? Alle internen Systeme befinden sich hinter einem SonicWall NAT- und Firewall-Router.
networking
tcpip
hacking
Michael Glenn
quelle
quelle
Antworten:
Dies fügt bestenfalls eine sehr dünne Schicht von "Sicherheit durch Unbekanntheit" hinzu, da 192.168.xy eine häufig verwendete Netzwerkadresse für private Netzwerke ist. Um jedoch die internen Adressen zu verwenden, müssen sich Bad Boys bereits in Ihrem Netzwerk befinden , und nur die dümmsten Angriffswerkzeuge werden vom "nicht standardmäßigen" Adressschema getäuscht.
Die Implementierung kostet so gut wie nichts und bietet im Gegenzug so gut wie nichts.
quelle
Klingt für mich nach abrechnungsfähiger Arbeit.
Abgesehen von der Tatsache, dass viele Consumer-Appliances den Adressraum 192.168.xx verwenden (der wie alles andere auch ausgenutzt werden kann), ändert sich meines Erachtens die Sicherheitslandschaft eines Unternehmensnetzwerks nicht wirklich. Die Dinge im Inneren sind verschlossen oder nicht.
Halten Sie Ihre Maschinen / Geräte auf dem neuesten Stand von Software / Firmware, befolgen Sie die Best Practices für die Netzwerksicherheit, und Sie sind in guter Verfassung.
quelle
Klingt so, als würde Ihre IT-Firma mir eine abrechenbare Arbeit abverlangen.
Der einzige legitime Grund, warum ich mir vorstellen kann, mich von den Subnetzen 192.168.0.x oder 192.168.1.x fernzuhalten, liegt in der wahrscheinlichen Überlappung von Subnetzen mit VPN-Clients. Es ist nicht unmöglich, dies zu umgehen, aber es erschwert das Einrichten von VPNs und das Diagnostizieren von Problemen.
quelle
Ein großer Vorteil des Verzichts auf die 192.168.xx-Adressierung ist die Vermeidung von Überschneidungen mit den Heimnetzwerken der Benutzer. Wenn Sie VPN einrichten, ist es viel vorhersehbarer, ob sich Ihr Netzwerk von dem Ihres Netzwerks unterscheidet.
quelle
Ich halte das nicht für wahrscheinlich.
Jeder Exploit, der sein Gewicht wert ist, verwendet alle drei privaten Subnetzbereiche zum Scannen.
Hier einige Referenzen für Ihre IT,
1.0.0.0/8
und verwenden2.0.0.0/8
!quelle
(schnüffeln ... schnüffeln) Ich rieche ... etwas. Es scheint aus der Richtung Ihrer IT-Firma zu kommen. Riecht nach ... Quatsch.
Das Wechseln von Subnetzen bietet bestenfalls einen gewissen Schutz. Vergiss, der Rest von dir ist nicht gedeckt ...
Die Zeiten hartcodierter Viren sind lange vorbei, und Sie werden feststellen, dass bösartiger Code "intelligent" genug ist, um das Subnetz des infizierten Computers zu untersuchen und von dort aus mit dem Scannen zu beginnen.
quelle
Ich würde sagen, es ist nicht sicherer. Wenn sie in Ihren Router eindringen, wird ihnen trotzdem der interne Bereich angezeigt.
quelle
Wie eine andere Person sagte, gibt es nur dann einen guten Grund, von 192.168.1.x zu wechseln, wenn Sie auf der Clientseite VPN von Heimroutern verwenden. Das ist der Grund, warum jedes Netzwerk, das ich verwalte, ein anderes Subnetz hat, weil ich und meine Client-Computer VPN betreiben.
quelle
Ich vermute, dass einige Drive-By-Router-Exploit-Skripte hartcodiert sind, um nach der Standard-Homerouter-Adresse zu suchen. Ihre Antwort lautet also "Sicherheit durch Unbekanntheit" ... es sei denn, sie ist nicht unklar, da sie abhängig von der Funktionsweise des Skripts wahrscheinlich Zugriff auf die Gateway-Adresse hat.
quelle
Wirklich, es ist nur eine urbane Legende.
Wie auch immer, ihre Argumentation könnte wie folgt lauten: Nehmen Sie an, dass der Bereich 192.168.x.0 / 24 häufiger verwendet wird. Dann könnte die nächste Annahme sein, dass auf einem der PCs eine bösartige Software vorhanden ist, die den Bereich 192.168.x.0 / 24 nach aktiven Computern durchsucht. Ignorieren Sie die Tatsache, dass möglicherweise ein in Windows integrierter Mechanismus für die Netzwerkerkennung verwendet wird.
Wieder - es klingt für mich nach Frachtkultismus.
quelle
Herstellervorgaben sind immer ausnutzbarer, da sie die ersten Optionen sind, die versucht werden, aber der 10-Bereich ist auch ein sehr bekannter privater Bereich, und wenn 192.168 nicht funktioniert, wird der nächste ausprobiert. Ich würde sie als "Bullen" bezeichnen.
quelle
Beide Bereiche sind "private" Adressen und gleichermaßen bekannt. Lassen Sie jemanden für Ihre IT sorgen.
Es ist absolut nicht von Vorteil zu wissen, welchen Adressbereich Sie intern verwenden. Sobald jemand Zugriff auf Ihr internes Netzwerk hat, kann er sehen, welche Adressen Sie verwenden. Bis dahin ist es ein Level Playing Field.
quelle
Ich bin kein Netzwerk-Typ ... aber als Linux-Mensch sehe ich keinen Unterschied. Das Vertauschen einer internen Klasse C mit einer anderen hat eigentlich nichts zu bedeuten. Wenn Sie sich im Netzwerk befinden, erhalten Sie unabhängig von der IP-Adresse weiterhin denselben Zugriff.
Aus der Sicht von Leuten, die nicht wissen, was sie tun, kann es einen winzigen Unterschied geben, wenn sie ihre eigenen WLAN-Router einbauen, die standardmäßig 192.168.0 / 32 verwenden. Aber es ist wirklich nicht sicherer.
quelle
Viele der heutigen Bedrohungen kommen von innen durch unachtsame Benutzer, die Malware ausführen. Obwohl es nicht viel Schutz bietet, würde ich es nicht als urbane Legende abtun.
Es würde Sicherheit durch Unbekanntheit heißen, wenn sich der Schutz allein auf die Unbekanntheit stützt (wie das Ablegen eines geheimen Dokuments auf einem öffentlichen Webserver mit einem "zufälligen" Ordnernamen). Dies ist eindeutig nicht der Fall.
Einige Skripte sind möglicherweise hartcodiert, um den Bereich 192.168.1.x zu scannen und eine eigene Kopie zu verbreiten. Ein weiterer praktischer Grund ist, dass Heimrouter in der Regel mit diesem Bereich konfiguriert sind. Dies kann zu Konflikten führen, wenn Sie VPN von den Heimcomputern aus einrichten, was manchmal zu Unfällen führen kann.
quelle
Wenn ein Angreifer in der Lage ist, Ihr internes Netzwerk zu gefährden, ist er in der Lage, Ihren IP-Bereich zu kennen.
Das ist ungefähr so: Wenn der einzige Schutz, den Sie verwenden, Ihr IP-Adressbereich ist, kann ich einen nicht konfigurierten Computer an den Switch anschließen und Ihre Netzwerkkonfiguration in wenigen Sekunden erfahren, nur durch ARP-Anforderungen. Dies ist im Wesentlichen vielbeschäftigt, wenn der einzige Grund dafür "Sicherheit" ist.
Ohne Fleiß kein Preis.
quelle
Das Verwenden einer Adressierungsklasse über eine andere bietet keine wirkliche Sicherheit über das bereits Implementierte hinaus.
Es gibt drei Haupttypen von privatisierten IP-Adressklassen:
Klasse A: 10.0.0.0 - 10.255.255.255 Klasse B: 172.16.0.0 - 172.31.255.255 Klasse C: 192.168.0.0 - 192.168.255.255
quelle