Риски внутреннего использования не частных IP-адресов?

20

Моя компания получила крупную промышленную машину со множеством сетевых устройств. К сожалению, ответственный инженер использовал общедоступный диапазон IP-адресов на машине. Я в европе Выбранный диапазон адресов принадлежит компании США. Допустим, это 143.166.0.0 (что на самом деле принадлежит Dell).

Давайте предположим, что я не подключаю аппарат к локальной сети нашей компании (на данный момент), но подключаю к нему свой ноутбук, чтобы запрограммировать устройство - скажем, 143.166.0.1. Давайте также скажем, что мой ноутбук адаптер беспроводной сети подключен к локальной сети компании и, следовательно, к Интернету. Теперь у меня есть два возможных маршрута к двум устройствам с общим адресом. Локальный, который я хочу, и адрес Dell.

Мой вопрос: «Насколько я должен волноваться?» Что должно и должно было произойти в этом случае? Я предполагаю, что локальная машина ответит первой, и что мне это может сойти с рук, но в конце концов меня укусят. Кстати, я видел публичные IP-адреса и на других машинах. Кажется, что инженеры либо не понимают частную адресацию, либо не ожидают, что их машина будет подключена к более широкому миру.

Есть идеи / комментарии? (это не связано с насилием в отношении машиностроителя)?

эпилог

Мы обнаружили интересную проблему, которая заставила нас изменить IP-адреса на частные.

  • Одно из устройств на компьютере запрограммировано через Internet Explorer с использованием компонента ActiveX. Это устройство будет пытаться передать данные в «слушатель» ActiveX (вместо обычного режима браузера, запрашивающего данные с удаленного сервера).
  • Наша конфигурация Active Directory загружает политики безопасности на наши компьютеры при входе в систему. В политику включен список доверенных сайтов. Это включает:
    • Утвержденные адреса компании.
    • Различные внешние адреса, такие как наш банк.
    • Частные адреса 192.168.0.0/16, 172.16.0.0/20 и 10.0.0.0/24.
    • Все остальное заблокировано.
  • Из-за политики безопасности компонент ActiveX никогда не получал никаких данных, так как входящий трафик блокируется политикой безопасности!

Это заставило продавца изменить адреса на 172.16.0.0. Я буду спать легче.

Спасибо за интерес.

транзистор
источник

Ответы:

21

Краткий ответ: дублирование выделенных публичных адресов - плохая идея.

Немного более длинный ответ: Оставляя в стороне проблемы маршрутизации, небезопасно предполагать, что вам никогда не потребуется подключаться к этой машине из какого-то другого места, кроме непосредственно подключенного кабеля, или что распределение публичных или частных адресов статично и никогда не изменится. ,

Проблемы удаленного доступа очевидны: глобальный Интернет считает, что 143.166 / 16 находится в одном месте, а вы хотите, чтобы он был в другом. Маршрутизаторы не пойдут на вашу машину.

И право собственности может измениться. Даже если этот адрес не был назначен Dell, он может быть выделен им в будущем. У Dell сегодня есть этот адрес, но завтра может быть кто-то другой, с другим маршрутом. Кто знает? Ваша организация может даже купить этот адресный блок с еще большим количеством маршрутов.

Итог: не думайте, что дубликаты IP-адресов могут быть безопасно заблокированы навсегда.

Что касается маршрутизации, ваш проводной интерфейс предпочел бы локальный адрес вместо адреса Dell. Ваш проводной интерфейс отправит запрос ARP для этого адреса и получит его напрямую с промышленного компьютера, без шлюза. После этого пакеты, предназначенные для этого адреса, будут использовать MAC-адрес назначения промышленной машины.

Это будет хорошо работать, если вы используете только кабель для доступа, и при этом вам никогда не нужно получать доступ к этой машине из какого-то другого места, и пока таблица глобальной маршрутизации остается статической.

Это много если. Вам лучше избегать этой проблемы, используя уникальный публичный адрес или что-то из пула частных адресов.

user8162
источник
Вы, ребята, правы - извините, я не понял, что это было чье-то место. Благодарю.
Псевдоцибер
12

Единственной проблемой будет невозможность общаться с реальными (интернет) машинами с этими адресами. Конечно, вы можете установить межсетевой экран («nat box») между вашей сетью и этим, чтобы он выглядел как частные адреса вашей сети.

Подобные вещи появляются повсеместно в течение многих лет из-за того, что люди ленивы и используют «неназначенные» адреса для своих собственных целей; теперь, когда они назначены, это представляет небольшую проблему.

[Изменить: для записи, я никогда не перенумеровывал свою домашнюю сеть. но мне вряд ли когда-нибудь понадобится разговаривать с людьми, у которых сейчас есть это адресное пространство. 15 лет и считая ...]

Рики Бим
источник
5
+1, я хотел бы добавить, что размер проблемы зависит от того, как далеко вы позволите этим адресам попасть в ваш IGP, и как много из этих адресов попадет в остальную часть вашей компании. К сожалению, кто-то добавил большие куски блоков AT & T класса A по всему нашему IGP, прежде чем я попал сюда.
Майк Пеннингтон
8

Мой вопрос: «Насколько я должен волноваться?» Что должно и должно было произойти в этом случае? Я предполагаю, что локальная машина ответит первой, и что мне это может сойти с рук, но в конце концов меня укусят.

Как примечание, это не о том, кто отвечает первым. Если вы дадите вашему компьютеру адрес в той же подсети, трафик пойдет прямо на машину, без участия маршрутизаторов.

Даже если вы будете использовать маршрутизацию, вводя маршрут к 143.166.0.0/16 на некоторых внутренних маршрутизаторах в вашей сети, они предпочтут этот маршрут над (по умолчанию?) Маршрутом в Интернет. Это происходит потому, что предпочтительнее «совпадение с самым длинным префиксом», т.е. выбран наиболее конкретный маршрут.

Если вы правильно оценили сетевой результат, часть Интернета 143.166.0.0/16 будет недоступна для вас или вашей сети, если вы установите маршрут во внутренних маршрутизаторах. / 16 кажется немного большим для этой проблемы, чем меньше подсеть, к которой вы направляете, тем меньше вероятность быть укушенным.

Gerben
источник
0

Ниже мой отредактированный ответ - который первоначально не получил, что это не «собственное» IP-пространство, а чье-то пространство.

Пока это ваше пространство, это не имеет значения. IP-адрес - это IP-адрес. Ваши приложения не знают, что является приватным, а что общедоступным. Если у вас есть свободное место, у вас могут быть даже подсети, которые являются «внутренними», а некоторые - «внешними», доступными - управляемыми с помощью обычных средств управления маршрутизацией, брандмауэров и т. Д.

Все открытое пространство внутри означает, что вам не нужно беспокоиться о NAT, чтобы входить или выходить из вашей сети.

Если это не ваше собственное IP-пространство, а чужое, оно может работать технически. Однако вы никогда не сможете достичь их пространства без дополнительных усилий и настроек - таких как туннелирование, NAT или двойной NAT, или более конкретная маршрутизация. Было бы лучше предложить переадресовать вашу сеть, письменно и подробно описать, как это сделать, как ею можно управлять и т. Д. Получите это в письменном виде, тогда, если когда-нибудь возникнут проблемы, вы можете вытащить свое "Я сказал вам, что по электронной почте ».

Приведенные ниже голоса были от моего первоначального ответа, в котором я неправильно понял вопрос.

Спасибо всем.

Pseudocyber
источник
Извините, но я должен понизить это, хотя вы можете использовать чужое адресное пространство, это не так просто, как вы говорите.
Майк Пеннингтон
Откажитесь от меня за то, что «это не имеет значения. Это может не иметь значения сейчас, но в конечном итоге это кого-то укусит, когда меньше всего этого ожидают».
Generalnetworkerror,