Риски внутреннего использования не частных IP-адресов?

Моя компания получила крупную промышленную машину со множеством сетевых устройств. К сожалению, ответственный инженер использовал общедоступный диапазон IP-адресов на машине. Я в европе Выбранный диапазон адресов принадлежит компании США. Допустим, это 143.166.0.0 (что на самом деле принадлежит Dell).

Давайте предположим, что я не подключаю аппарат к локальной сети нашей компании (на данный момент), но подключаю к нему свой ноутбук, чтобы запрограммировать устройство - скажем, 143.166.0.1. Давайте также скажем, что мой ноутбук адаптер беспроводной сети подключен к локальной сети компании и, следовательно, к Интернету. Теперь у меня есть два возможных маршрута к двум устройствам с общим адресом. Локальный, который я хочу, и адрес Dell.

Мой вопрос: «Насколько я должен волноваться?» Что должно и должно было произойти в этом случае? Я предполагаю, что локальная машина ответит первой, и что мне это может сойти с рук, но в конце концов меня укусят. Кстати, я видел публичные IP-адреса и на других машинах. Кажется, что инженеры либо не понимают частную адресацию, либо не ожидают, что их машина будет подключена к более широкому миру.

Есть идеи / комментарии? (это не связано с насилием в отношении машиностроителя)?

эпилог

Мы обнаружили интересную проблему, которая заставила нас изменить IP-адреса на частные.

• Одно из устройств на компьютере запрограммировано через Internet Explorer с использованием компонента ActiveX. Это устройство будет пытаться передать данные в «слушатель» ActiveX (вместо обычного режима браузера, запрашивающего данные с удаленного сервера).
• Наша конфигурация Active Directory загружает политики безопасности на наши компьютеры при входе в систему. В политику включен список доверенных сайтов. Это включает:
  • Утвержденные адреса компании.
  • Различные внешние адреса, такие как наш банк.
  • Частные адреса 192.168.0.0/16, 172.16.0.0/20 и 10.0.0.0/24.
  • Все остальное заблокировано.
• Из-за политики безопасности компонент ActiveX никогда не получал никаких данных, так как входящий трафик блокируется политикой безопасности!

Это заставило продавца изменить адреса на 172.16.0.0. Я буду спать легче.

Спасибо за интерес.

Краткий ответ: дублирование выделенных публичных адресов - плохая идея.

Немного более длинный ответ: Оставляя в стороне проблемы маршрутизации, небезопасно предполагать, что вам никогда не потребуется подключаться к этой машине из какого-то другого места, кроме непосредственно подключенного кабеля, или что распределение публичных или частных адресов статично и никогда не изменится. ,

Проблемы удаленного доступа очевидны: глобальный Интернет считает, что 143.166 / 16 находится в одном месте, а вы хотите, чтобы он был в другом. Маршрутизаторы не пойдут на вашу машину.

И право собственности может измениться. Даже если этот адрес не был назначен Dell, он может быть выделен им в будущем. У Dell сегодня есть этот адрес, но завтра может быть кто-то другой, с другим маршрутом. Кто знает? Ваша организация может даже купить этот адресный блок с еще большим количеством маршрутов.

Итог: не думайте, что дубликаты IP-адресов могут быть безопасно заблокированы навсегда.

Что касается маршрутизации, ваш проводной интерфейс предпочел бы локальный адрес вместо адреса Dell. Ваш проводной интерфейс отправит запрос ARP для этого адреса и получит его напрямую с промышленного компьютера, без шлюза. После этого пакеты, предназначенные для этого адреса, будут использовать MAC-адрес назначения промышленной машины.

Это будет хорошо работать, если вы используете только кабель для доступа, и при этом вам никогда не нужно получать доступ к этой машине из какого-то другого места, и пока таблица глобальной маршрутизации остается статической.

Это много если. Вам лучше избегать этой проблемы, используя уникальный публичный адрес или что-то из пула частных адресов.

Единственной проблемой будет невозможность общаться с реальными (интернет) машинами с этими адресами. Конечно, вы можете установить межсетевой экран («nat box») между вашей сетью и этим, чтобы он выглядел как частные адреса вашей сети.

Подобные вещи появляются повсеместно в течение многих лет из-за того, что люди ленивы и используют «неназначенные» адреса для своих собственных целей; теперь, когда они назначены, это представляет небольшую проблему.

[Изменить: для записи, я никогда не перенумеровывал свою домашнюю сеть. но мне вряд ли когда-нибудь понадобится разговаривать с людьми, у которых сейчас есть это адресное пространство. 15 лет и считая ...]

Мой вопрос: «Насколько я должен волноваться?» Что должно и должно было произойти в этом случае? Я предполагаю, что локальная машина ответит первой, и что мне это может сойти с рук, но в конце концов меня укусят.

Как примечание, это не о том, кто отвечает первым. Если вы дадите вашему компьютеру адрес в той же подсети, трафик пойдет прямо на машину, без участия маршрутизаторов.

Даже если вы будете использовать маршрутизацию, вводя маршрут к 143.166.0.0/16 на некоторых внутренних маршрутизаторах в вашей сети, они предпочтут этот маршрут над (по умолчанию?) Маршрутом в Интернет. Это происходит потому, что предпочтительнее «совпадение с самым длинным префиксом», т.е. выбран наиболее конкретный маршрут.

Если вы правильно оценили сетевой результат, часть Интернета 143.166.0.0/16 будет недоступна для вас или вашей сети, если вы установите маршрут во внутренних маршрутизаторах. / 16 кажется немного большим для этой проблемы, чем меньше подсеть, к которой вы направляете, тем меньше вероятность быть укушенным.

Ниже мой отредактированный ответ - который первоначально не получил, что это не «собственное» IP-пространство, а чье-то пространство.

Пока это ваше пространство, это не имеет значения. IP-адрес - это IP-адрес. Ваши приложения не знают, что является приватным, а что общедоступным. Если у вас есть свободное место, у вас могут быть даже подсети, которые являются «внутренними», а некоторые - «внешними», доступными - управляемыми с помощью обычных средств управления маршрутизацией, брандмауэров и т. Д.

Все открытое пространство внутри означает, что вам не нужно беспокоиться о NAT, чтобы входить или выходить из вашей сети.

Если это не ваше собственное IP-пространство, а чужое, оно может работать технически. Однако вы никогда не сможете достичь их пространства без дополнительных усилий и настроек - таких как туннелирование, NAT или двойной NAT, или более конкретная маршрутизация. Было бы лучше предложить переадресовать вашу сеть, письменно и подробно описать, как это сделать, как ею можно управлять и т. Д. Получите это в письменном виде, тогда, если когда-нибудь возникнут проблемы, вы можете вытащить свое "Я сказал вам, что по электронной почте ».

Приведенные ниже голоса были от моего первоначального ответа, в котором я неправильно понял вопрос.

Спасибо всем.