у меня вопрос: как я могу определить все частные IP-адреса, используемые в сетевой среде моей компании?
Я внутренний аудитор, проверяющий инвентарь устройств моей фирмы. Фирма использует инструмент, настроенный администраторами сети для сканирования очень определенных диапазонов частных IP-адресов в наших производственных сетях. Мне нужно убедиться, что в сети нет других устройств за пределами этих диапазонов сканирования. На вопрос, администраторы отвечают примерно так: «Потому что мы просто не используем адреса за пределами этих диапазонов». Что нормально, я уверен, что нет. Однако я ищу способ узнать, какие IP-адреса действительно используются, чтобы оценить полноту инвентаризации устройств, которую я просматриваю.
(Я знаю, что могу попросить их просканировать всю подсеть 10.0.0.0/8 с помощью этого инструмента, но по какой-то причине это кажется им не стартовым, поэтому я ищу альтернативы)
Всем спасибо за помощь.
Вам необходимо просканировать все используемые диапазоны, чтобы увидеть, что там «на самом деле». В этом весь смысл аудита, не так ли?
Если у вас есть доступ к маршрутизаторам и их таблицам маршрутизации, вы можете уменьшить размер сканирования или, по крайней мере, убедиться, что определенные диапазоны не используются. Таблица маршрутизации основного маршрутизатора (ов) должна быть адекватной.
Например, если диапазон 10.100.0.0/16 является единственным предположительно используемым, то, если вы проверите таблицу маршрутизации маршрутизаторов, вы не должны увидеть маршруты вне этого диапазона. Если вы видели маршрут к 10.150.5.0/24, это будет означать, что существует недокументированная сеть, и ее следует сканировать на наличие устройств.
Кстати, если они действительно используют только определенные диапазоны, то сканирование за пределами этих диапазонов не должно влиять на сеть. Если у них есть системы обнаружения вторжений, сканирование может отключить это (на самом деле, должно), но, поскольку вы известный источник, это тоже не должно быть проблемой.
Один из вариантов - запрос кэша ARP часто используемого компьютера.
ARP - это небольшое программное обеспечение, которое преобразует IP-адреса в MAC-адреса. Если 2 машины связались в (недавнем) прошлом, у обеих будет запись ARP друг для друга. В Linux команда arp отобразит кеш arp.
Тем не менее, если у двух машин никогда не было причин связываться друг с другом, записей не будет. Так что выполните это, скажем, на файловом сервере или шлюзе.
Этот метод не такой всеобъемлющий, как сканирование, упомянутое Роном, но проще.