192.168.1.x plus exploitable?


24

Notre société de services informatiques propose une reconfiguration du réseau pour utiliser la plage IP 10.10.150.1 - 10.10.150.254 en interne, car ils affirment que le schéma IP actuel en utilisant les valeurs par défaut du fabricant de 192.168.1.x est "facilitant l'exploitation".

Est-ce vrai? Comment connaître / ne pas connaître le schéma IP interne rend-il un réseau plus exploitable? Tous les systèmes internes sont derrière un NAT SonicWall et un routeur pare-feu.


Je pensais que j'ajouterais cette question: serverfault.com/questions/33810/… Il semble que cela présente certains problèmes que vous pourriez avoir si vous empruntiez cette voie.
Joshua Nurczyk

23
Si vous n'avez pas de NDA avec la société de services informatiques, pouvez-vous les nommer et leur faire honte? Ensuite, tout le monde ici peut les éviter en raison de leur manque d'indice et de leur désir de créer un travail facturable qui ne donne rien
goo

Tire-les, ils ne sont "pas intelligents" ..
dc5553

Réponses:


55

Cela ajoutera au mieux une très fine couche de «sécurité par obscurité», car 192.168.xy est une adresse réseau plus couramment utilisée pour les réseaux privés, mais pour utiliser les adresses internes, les mauvais garçons doivent déjà être à l'intérieur de votre réseau , et seuls les outils d'attaque les plus stupides seront trompés par le schéma d'adresse "non standard".

Mettre en œuvre cela ne coûte presque rien et n'offre presque rien en retour.


7
+1 pour "ne coûte rien n'offre presque rien". Je me demanderais si un tel changement ne serait pas plus pénible dans le a $$ que sa valeur, mais si vous êtes VRAIMENT, VRAIMENT inquiet ... allez-y et utilisez une plage IP non standard. Assurez-vous simplement de changer les mots de passe et les ports de votre routeur par défaut ... car sinon, c'est juste embarrassant. sourire
KPWINC

23
Selon la taille de votre réseau, je dirais que le coût est beaucoup plus élevé que rien. Si vous voulez vraiment faire cuire les nouilles des consultants, dites-lui que vous pensez que la prévisibilité est un fondement de la sécurité des informations et que la mise en œuvre de ce changement rendra le réseau moins sécurisé car il vous obligera à modifier de nombreuses listes de contrôle d'accès et d'autres contrôles de sécurité techniques. .
dr.pooter

1
Je suis d'accord avec dr.pooter sur celui-ci. Il s'agit d'un très grand changement à votre infrastructure, avec presque aucun avantage réel. Pour un environnement de taille moyenne et plus, la logistique (et les risques) de celui-ci invoquent l'ulcère.
Scott Pack

1
Un autre accord. Le changement ne "coûte rien" sur un réseau entièrement DHCP qui ne nécessite aucune adresse IP statique (signifie généralement pas de serveurs sur le réseau). Sinon, cela coûte des maux de tête et beaucoup de temps.
Joshua Nurczyk

1
+1 D'accord. Je me méfierais de quiconque se donne beaucoup de mal pour mettre en œuvre quelque chose dans le seul but de la sécurité par obscurité.
squillman

30

Cela me semble être un travail chargé facturable.

Mis à part le fait que de nombreux appareils grand public utilisent l'espace d'adressage 192.168.xx (qui peut être exploité, comme toute autre chose), je ne pense pas que cela change vraiment le paysage de sécurité d'un réseau d'entreprise. Les choses à l'intérieur sont verrouillées, ou elles ne le sont pas.

Gardez vos machines / appareils sur le logiciel / micrologiciel actuel, suivez les meilleures pratiques pour la sécurité du réseau et vous serez en bonne forme.


13
+1 pour l'observation "travaux facturables". Quelqu'un doit payer son bail pour l'année et faire preuve de créativité avec les propositions de ses clients. =)
Wesley

+1 Ouais, ce que le nonapeptide a dit
squillman

3
+1 - Peut-être que la société d'alarmes anti-vol vous proposera ensuite de peindre l'extérieur du bâtiment dans des couleurs de camouflage pour éloigner les cambrioleurs! La sécurité par l'absurde ...
Evan Anderson

10

On dirait que votre entreprise informatique veut un travail facturable pour moi.

La seule raison légitime à laquelle je peux penser pour rester à l'écart des sous-réseaux 192.168.0.x ou 192.168.1.x est due au capot probable d'avoir des sous-réseaux qui se chevauchent avec les clients vpn. Ce n'est pas impossible à contourner, mais cela ajoute une certaine complication à la configuration des vpn et au diagnostic des problèmes.


1
Oui, c'est la seule raison pour laquelle je choisis habituellement des réseaux étranges comme 10.117.1.0/24 pour les bureaux qui peuvent avoir des utilisateurs VPN sur eux.
kashani

@kashani C'est une pratique sensée. Si sensible en fait, que si vous souhaitez utiliser des adresses privées dans IPv6, il est même obligatoire dans la RFC 4193 de mettre 40 bits aléatoires dans le préfixe.
kasperd

9

Un gros avantage de ne pas utiliser l'adressage 192.168.xx est d'éviter le chevauchement avec les réseaux domestiques des utilisateurs. Lors de la configuration d'un VPN, il est beaucoup plus prévisible si votre réseau est distinct du leur.


2
+1: C'est l'une des deux bonnes raisons de changer (l'autre a besoin de plus d'adresses dans le sous-réseau).
Richard


7

(renifler ... renifler) Je sens ... quelque chose. Il semble provenir de la direction de votre entreprise informatique. Ça sent le ... baloney.

La commutation des sous-réseaux fournit, au mieux, une feuille de protection. Peu importe le reste d'entre vous n'est pas couvert ...

L'époque des virus codés en dur est révolue depuis longtemps et vous constaterez que le code malveillant est suffisamment «intelligent» pour examiner le sous-réseau de la machine infectée et commencer à analyser à partir de là.


+1 pour la feuille de vigne.
msanford

Au départ, j'allais dire "codpiece", mais d'une manière ou d'une autre, cela semblait plus solide que nécessaire ...
Avery Payne

6

Je dirais que ce n'est pas plus sûr. S'ils pénètrent dans votre routeur, cela leur montrera de toute façon la portée interne.


3

Comme l'a dit une autre personne, la seule bonne raison de passer de 192.168.1.x est si vous utilisez un VPN à partir de routeurs domestiques côté client. C'est la raison pour laquelle chaque réseau que j'administre a un sous-réseau différent car moi et mes machines clientes faisons du VPN.


2

Je suppose que certains scripts d'exploitations de routeurs routeurs sont codés en dur pour aller chercher l'adresse homerouter standard. Leur réponse est donc "la sécurité par l'obscurité" ... sauf qu'elle n'est pas obscure car selon le fonctionnement du script, il a probablement accès à l'adresse de la passerelle.


2

Vraiment, ce n'est qu'une légende urbaine.

Quoi qu'il en soit, leur raisonnement pourrait être le suivant: supposons que la plage 192.168.x.0 / 24 est utilisée plus couramment. Alors, peut-être, l'hypothèse suivante sera, que s'il y avait un logiciel malveillant sur l'un des PC, il scannerait la plage 192.168.x.0 / 24 pour les ordinateurs actifs. Ne tenez pas compte du fait qu'il utiliserait probablement un mécanisme intégré de Windows pour la découverte du réseau.

Encore une fois - cela ressemble à un culte du fret pour moi.


2

Les valeurs par défaut du fabricant sont toujours plus exploitables car ce sont les premières options qui seront tentées, mais la gamme 10 est également une gamme privée très connue et - si 192.168 ne fonctionne pas - sera la prochaine essayée. J'appellerais "taureau" sur eux.


2

Les deux plages sont des adresses "privées" et également bien connues. Demandez à quelqu'un d'autre de s'occuper de votre informatique.

Savoir quelle plage d'adresses vous utilisez en interne n'a absolument aucun avantage. Une fois que quelqu'un a accès à votre réseau interne, il peut voir quelles adresses vous utilisez. Jusque-là, c'est un terrain de jeu égal.


1

Je ne suis pas un gars du réseau ... mais en tant que personne Linux, je ne vois pas comment cela ferait une différence. L'échange d'une classe C interne à une autre ne fait vraiment rien. Si vous êtes sur le réseau, vous aurez toujours le même accès quelles que soient les adresses IP.

Il peut y avoir une petite différence du point de vue des personnes qui ne savent pas ce qu'elles font en apportant leurs propres routeurs sans fil qui seraient par défaut 192.168.0 / 32. Mais ce n'est vraiment plus sûr.


1

De nombreuses menaces actuelles proviennent de l'intérieur de la part d'utilisateurs imprudents exécutant des logiciels malveillants. Bien qu'il n'offre pas beaucoup de protection, je ne le rejetterais pas complètement comme une légende urbaine.

Ce serait appelé la sécurité par l'obscurité si la protection reposait uniquement sur l'obscurité (comme mettre un document secret sur un serveur Web public avec un nom de dossier "aléatoire"), ce n'est clairement pas le cas.

Certains scripts peuvent être codés en dur pour analyser la plage 192.168.1.x et diffuser leur propre copie. Une autre raison pratique est que les routeurs domestiques sont généralement configurés avec cette plage, donc cela peut entrer en conflit lorsque vous configurez vpn à partir des machines domestiques, provoquant parfois des accidents.


1

Si un attaquant est en mesure de compromettre votre réseau interne, il est en mesure de connaître votre plage IP.

C'est un peu comme ceci: si la seule protection que vous utilisez est votre plage d'adresses IP, je peux brancher une machine non configurée dans le commutateur et apprendre votre configuration réseau en quelques secondes, juste par des requêtes ARP. Il s'agit essentiellement d'un travail chargé si la seule raison derrière cela est la «sécurité».

Toute douleur, aucun gain.


0

L'utilisation d'une classe d'adressage par rapport à une autre n'offre aucune sécurité réelle au-delà de ce qui est déjà implémenté.

Il existe trois principaux types de classes d'adresses IP privatisées:

Classe A: 10.0.0.0 - 10.255.255.255 Classe B: 172.16.0.0 - 172.31.255.255 Classe C: 192.168.0.0 - 192.168.255.255


3
Soupir. Le routage basé sur les classes n'a plus d'importance depuis des années. Ce que vous voulez dire, c'est qu'il y a trois sous-réseaux privés à utiliser.
Mark Henderson
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.