192.168.1.x besser ausnutzbar?

24

Unser IT-Dienstleister schlägt eine Netzwerk-Neukonfiguration vor, um den IP-Bereich 10.10.150.1 - 10.10.150.254 intern zu verwenden, da das aktuelle IP-Schema mit den Herstellervorgaben 192.168.1.x "die Ausnutzung zu einfach macht".

Ist das wahr? Wie kann ein Netzwerk besser ausgenutzt werden, wenn man das interne IP-Schema kennt oder nicht kennt? Alle internen Systeme befinden sich hinter einem SonicWall NAT- und Firewall-Router.

networking tcpip hacking Michael Glenn
quelle
Dachte, ich würde diese Frage hinzufügen: serverfault.com/questions/33810/… Es scheint, dass dies einige Probleme umreißt, die Sie haben könnten, wenn Sie diesen Weg gehen.
Joshua Nurczyk
23
Wenn Sie keine NDA bei dem IT-Dienstleistungsunternehmen haben, können Sie sie nennen und beschämen? Dann kann sie jeder hier meiden, weil sie keine Ahnung haben und sich wünschen, eine abrechenbare Arbeit zu schaffen, die nichts
bringt
Feuer sie, sie sind "nicht klug" ..
DC5553

Antworten:

55

Dies fügt bestenfalls eine sehr dünne Schicht von "Sicherheit durch Unbekanntheit" hinzu, da 192.168.xy eine häufig verwendete Netzwerkadresse für private Netzwerke ist. Um jedoch die internen Adressen zu verwenden, müssen sich Bad Boys bereits in Ihrem Netzwerk befinden , und nur die dümmsten Angriffswerkzeuge werden vom "nicht standardmäßigen" Adressschema getäuscht.

Die Implementierung kostet so gut wie nichts und bietet im Gegenzug so gut wie nichts.

Sven
quelle
7
+1 für "kostet nichts bietet fast nichts". Ich frage mich, ob eine solche Änderung nicht mehr ein Problem für den Dollar ist, als es wert ist, aber wenn Sie WIRKLICH, WIRKLICH betroffen sind, gehen Sie vor und verwenden Sie einen nicht-standardmäßigen IP-Bereich. Vergewissern Sie sich nur, dass Sie Ihre Standard-Router-Passwörter und -Ports ändern ... da dies sonst nur peinlich ist. grinsen
KPWINC
23
Abhängig von der Größe Ihres Netzwerks würde ich argumentieren, dass die Kosten viel höher sind als nichts. Wenn Sie wirklich die Nudel des Beraters backen möchten, teilen Sie ihm mit, dass Sie der Ansicht sind, dass Vorhersehbarkeit eine Grundlage für die Informationssicherheit ist. Durch die Implementierung dieser Änderung wird das Netzwerk weniger sicher, da Sie viele Zugriffskontrolllisten und andere technische Sicherheitskontrollen ändern müssen .
dr.pooter
1
Ich stimme dr.pooter in diesem Punkt zu. Dies ist eine sehr große Änderung an Ihrer Infrastruktur, die so gut wie keinen wirklichen Nutzen bringt. Ab einer mittelgroßen Umgebung sind die Logistik (und die Risiken) davon geschwürauslösend.
Scott Pack
1
Noch eine Vereinbarung. Die Änderung "kostet nichts" in einem vollständig DHCP-Netzwerk, für das keine statischen IP-Adressen erforderlich sind (dies bedeutet normalerweise, dass sich keine Server im Netzwerk befinden). Es kostet Kopfschmerzen und sonst viel Zeit.
Joshua Nurczyk
1
+1 Einverstanden. Ich wäre vorsichtig, wenn jemand sich bemühen würde, etwas nur zum Zweck der Sicherheit durch Unbekanntheit umzusetzen.
squillman
30

Klingt für mich nach abrechnungsfähiger Arbeit.

Abgesehen von der Tatsache, dass viele Consumer-Appliances den Adressraum 192.168.xx verwenden (der wie alles andere auch ausgenutzt werden kann), ändert sich meines Erachtens die Sicherheitslandschaft eines Unternehmensnetzwerks nicht wirklich. Die Dinge im Inneren sind verschlossen oder nicht.

Halten Sie Ihre Maschinen / Geräte auf dem neuesten Stand von Software / Firmware, befolgen Sie die Best Practices für die Netzwerksicherheit, und Sie sind in guter Verfassung.

Geoff Fritz
quelle
13
+1 für die Beobachtung "abrechenbare Beschäftigtheit". Jemand muss seine Miete für das Jahr bezahlen und wurde kreativ mit seinen Kundenvorschlägen. =)
Wesley
+1 Ja, was Nonapeptide gesagt hat
squillman
3
+1 - Vielleicht schlägt die Einbruchmeldefirma als nächstes vor, dass Sie versuchen, das Äußere des Gebäudes in Tarnfarben zu streichen, um Einbrecher abzuwehren! Sicherheit durch Absurdität ...
Evan Anderson
10

Klingt so, als würde Ihre IT-Firma mir eine abrechenbare Arbeit abverlangen.

Der einzige legitime Grund, warum ich mir vorstellen kann, mich von den Subnetzen 192.168.0.x oder 192.168.1.x fernzuhalten, liegt in der wahrscheinlichen Überlappung von Subnetzen mit VPN-Clients. Es ist nicht unmöglich, dies zu umgehen, aber es erschwert das Einrichten von VPNs und das Diagnostizieren von Problemen.

3deinfluss
quelle
1
Ja, dies ist der einzige Grund, warum ich normalerweise fremde Netzwerke wie 10.117.1.0/24 für Büros auswähle, in denen Benutzer möglicherweise VPNs verwenden.
kashani
@ Kashani Das ist eine vernünftige Praxis. In der Tat so sinnvoll, dass, wenn Sie private Adressen in IPv6 verwenden möchten, in RFC 4193 sogar 40 zufällige Bits in das Präfix eingefügt werden müssen.
Kasperd
9

Ein großer Vorteil des Verzichts auf die 192.168.xx-Adressierung ist die Vermeidung von Überschneidungen mit den Heimnetzwerken der Benutzer. Wenn Sie VPN einrichten, ist es viel vorhersehbarer, ob sich Ihr Netzwerk von dem Ihres Netzwerks unterscheidet.

Cawflands
quelle
2
+1: Dies ist einer von zwei guten Gründen für eine Änderung (der andere benötigt mehr Adressen im Subnetz).
Richard
7

(schnüffeln ... schnüffeln) Ich rieche ... etwas. Es scheint aus der Richtung Ihrer IT-Firma zu kommen. Riecht nach ... Quatsch.

Das Wechseln von Subnetzen bietet bestenfalls einen gewissen Schutz. Vergiss, der Rest von dir ist nicht gedeckt ...

Die Zeiten hartcodierter Viren sind lange vorbei, und Sie werden feststellen, dass bösartiger Code "intelligent" genug ist, um das Subnetz des infizierten Computers zu untersuchen und von dort aus mit dem Scannen zu beginnen.

Avery Payne
quelle
+1 für Feigenblatt.
msanford
Ich wollte ursprünglich "Codpiece" sagen, aber irgendwie klang das robuster als nötig ...
Avery Payne
6

Ich würde sagen, es ist nicht sicherer. Wenn sie in Ihren Router eindringen, wird ihnen trotzdem der interne Bereich angezeigt.

Jack B Flink
quelle
3

Wie eine andere Person sagte, gibt es nur dann einen guten Grund, von 192.168.1.x zu wechseln, wenn Sie auf der Clientseite VPN von Heimroutern verwenden. Das ist der Grund, warum jedes Netzwerk, das ich verwalte, ein anderes Subnetz hat, weil ich und meine Client-Computer VPN betreiben.

dmoisan
quelle
2

Ich vermute, dass einige Drive-By-Router-Exploit-Skripte hartcodiert sind, um nach der Standard-Homerouter-Adresse zu suchen. Ihre Antwort lautet also "Sicherheit durch Unbekanntheit" ... es sei denn, sie ist nicht unklar, da sie abhängig von der Funktionsweise des Skripts wahrscheinlich Zugriff auf die Gateway-Adresse hat.

Tom Ritter
quelle
2

Wirklich, es ist nur eine urbane Legende.

Wie auch immer, ihre Argumentation könnte wie folgt lauten: Nehmen Sie an, dass der Bereich 192.168.x.0 / 24 häufiger verwendet wird. Dann könnte die nächste Annahme sein, dass auf einem der PCs eine bösartige Software vorhanden ist, die den Bereich 192.168.x.0 / 24 nach aktiven Computern durchsucht. Ignorieren Sie die Tatsache, dass möglicherweise ein in Windows integrierter Mechanismus für die Netzwerkerkennung verwendet wird.

Wieder - es klingt für mich nach Frachtkultismus.

shylent
quelle
2

Herstellervorgaben sind immer ausnutzbarer, da sie die ersten Optionen sind, die versucht werden, aber der 10-Bereich ist auch ein sehr bekannter privater Bereich, und wenn 192.168 nicht funktioniert, wird der nächste ausprobiert. Ich würde sie als "Bullen" bezeichnen.

Maximus Minimus
quelle
2

Beide Bereiche sind "private" Adressen und gleichermaßen bekannt. Lassen Sie jemanden für Ihre IT sorgen.

Es ist absolut nicht von Vorteil zu wissen, welchen Adressbereich Sie intern verwenden. Sobald jemand Zugriff auf Ihr internes Netzwerk hat, kann er sehen, welche Adressen Sie verwenden. Bis dahin ist es ein Level Playing Field.

John Gardeniers
quelle
1

Ich bin kein Netzwerk-Typ ... aber als Linux-Mensch sehe ich keinen Unterschied. Das Vertauschen einer internen Klasse C mit einer anderen hat eigentlich nichts zu bedeuten. Wenn Sie sich im Netzwerk befinden, erhalten Sie unabhängig von der IP-Adresse weiterhin denselben Zugriff.

Aus der Sicht von Leuten, die nicht wissen, was sie tun, kann es einen winzigen Unterschied geben, wenn sie ihre eigenen WLAN-Router einbauen, die standardmäßig 192.168.0 / 32 verwenden. Aber es ist wirklich nicht sicherer.

Alex
quelle
1

Viele der heutigen Bedrohungen kommen von innen durch unachtsame Benutzer, die Malware ausführen. Obwohl es nicht viel Schutz bietet, würde ich es nicht als urbane Legende abtun.

Es würde Sicherheit durch Unbekanntheit heißen, wenn sich der Schutz allein auf die Unbekanntheit stützt (wie das Ablegen eines geheimen Dokuments auf einem öffentlichen Webserver mit einem "zufälligen" Ordnernamen). Dies ist eindeutig nicht der Fall.

Einige Skripte sind möglicherweise hartcodiert, um den Bereich 192.168.1.x zu scannen und eine eigene Kopie zu verbreiten. Ein weiterer praktischer Grund ist, dass Heimrouter in der Regel mit diesem Bereich konfiguriert sind. Dies kann zu Konflikten führen, wenn Sie VPN von den Heimcomputern aus einrichten, was manchmal zu Unfällen führen kann.

Eugene Yokota
quelle
1

Wenn ein Angreifer in der Lage ist, Ihr internes Netzwerk zu gefährden, ist er in der Lage, Ihren IP-Bereich zu kennen.

Das ist ungefähr so: Wenn der einzige Schutz, den Sie verwenden, Ihr IP-Adressbereich ist, kann ich einen nicht konfigurierten Computer an den Switch anschließen und Ihre Netzwerkkonfiguration in wenigen Sekunden erfahren, nur durch ARP-Anforderungen. Dies ist im Wesentlichen vielbeschäftigt, wenn der einzige Grund dafür "Sicherheit" ist.

Ohne Fleiß kein Preis.

Matt Simmons
quelle
0

Das Verwenden einer Adressierungsklasse über eine andere bietet keine wirkliche Sicherheit über das bereits Implementierte hinaus.

Es gibt drei Haupttypen von privatisierten IP-Adressklassen:

Klasse A: 10.0.0.0 - 10.255.255.255 Klasse B: 172.16.0.0 - 172.31.255.255 Klasse C: 192.168.0.0 - 192.168.255.255

Schlitten
quelle
3
Seufzer. Klassenbasiertes Routing spielt seit Jahren keine Rolle mehr. Sie meinen damit, dass drei private Subnetze verwendet werden können.
Mark Henderson