Наша компания, оказывающая ИТ-услуги, предлагает реконфигурацию сети для внутреннего использования диапазона IP-адресов 10.10.150.1–10.10.150.254, поскольку они заявляют, что текущая IP-схема с использованием заводских настроек по умолчанию 192.168.1.x «упрощает использование».
Это правда? Как знание / незнание внутренней схемы IP делает сеть более уязвимой? Все внутренние системы находятся за маршрутизатором SonicWall NAT и межсетевым экраном.
Это добавит в лучшем случае очень тонкий слой «безопасности посредством неизвестности», поскольку 192.168.xy - это более часто используемый сетевой адрес для частных сетей, но для того, чтобы использовать внутренние адреса, плохие парни должны быть уже внутри вашей сети. , и только самые глупые средства атаки будут обмануты "нестандартной" схемой адресов.
Реализация этого почти ничего не стоит и почти ничего не предлагает взамен.
Для меня это похоже на оплачиваемую занятость.
Помимо того факта, что многие потребительские устройства используют адресное пространство 192.168.x.x (которое можно использовать, как и все остальное), я не чувствую, что это действительно меняет ландшафт безопасности корпоративной сети. Вещи внутри заблокированы, или нет.
Держите свои машины / устройства на текущем программном обеспечении / прошивке, следуйте рекомендациям по сетевой безопасности, и вы будете в хорошей форме.
Похоже, ваша ИТ-компания требует от меня оплачиваемой работы.
Единственная законная причина, по которой я могу держаться подальше от подсетей 192.168.0.x или 192.168.1.x, связана с вероятным перекрытием подсетей с vpn-клиентами. Это не невозможно обойти, но добавляет некоторые сложности в настройку VPN и диагностику проблем.
Одним из больших преимуществ отказа от адресации 192.168.x.x является избежание перекрытия с домашними сетями пользователей. При настройке VPN гораздо более предсказуемо, если ваша сеть отличается от их.
Я не думаю, что это возможно.
Любой полезный эксплойт будет использовать все три диапазона частных подсетей для сканирования.
Вот несколько ссылок для вашего ИТ,
1.0.0.0/8 и 2.0.0.0/8!(нюхает ... нюхает) Я чувствую ... что-то. Похоже, это исходит от вашей ИТ-фирмы. Пахнет ... чепухой.
Коммутация подсетей обеспечивает в лучшем случае фиговый лист защиты. Неважно, что остальные из вас не защищены ...
Дни жестко закодированных вирусов настали. длинный прошлое, и вы обнаружите, что вредоносный код «достаточно умен», чтобы просмотреть подсеть зараженной машины и начать сканирование оттуда.
Я бы сказал, что это не безопаснее. Если они взломают ваш маршрутизатор, он все равно покажет им внутренний диапазон.
Как сказал другой человек, единственная веская причина для перехода с 192.168.1.x - это использование VPN с домашних маршрутизаторов на стороне клиента. Это причина того, что каждая сеть, которую я администрирую, имеет разные подсети, потому что я и мои клиентские машины используют VPN.
Я предполагаю, что некоторые сценарии эксплойтов проездного маршрутизатора жестко запрограммированы таким образом, чтобы смотреть на стандартный адрес домашнего маршрутизатора. Так что их ответ - «безопасность через неясность» ... за исключением того, что это не непонятно, потому что в зависимости от того, как работает сценарий, он, вероятно, имеет доступ к адресу шлюза.
На самом деле это просто городская легенда.
В любом случае, их рассуждения могут быть следующими: предположим, что диапазон 192.168.x.0 / 24 используется чаще. Тогда, возможно, следующее предположение будет заключаться в том, что, если бы на одном из ПК была вредоносная программа, она просканировала бы диапазон 192.168.x.0 / 24 на предмет активных компьютеров. Не обращайте внимания на тот факт, что он, вероятно, будет использовать какой-то встроенный механизм Windows для обнаружения сети.
Опять же - для меня это звучит как карго-культизм.
Заводские настройки по умолчанию всегда более уязвимы, поскольку они являются первыми вариантами, которые будут использоваться, но диапазон 10 также является очень хорошо известный частный диапазон, и - если 192.168 не работает - будет следующим. Я бы назвал их "быками".
Оба диапазона являются «частными» адресами и одинаково хорошо известны. Попросите кого-нибудь другого позаботиться о вашей ИТ.
Знание того, какой диапазон адресов вы используете для внутренних целей, не имеет абсолютно никакого преимущества. Как только кто-то получит доступ к вашей внутренней сети, он сможет увидеть, какие адреса вы используете. До этого момента это равные условия игры.
Я не специалист по сетям ... но как человек Linux, я не понимаю, как это может иметь значение. Замена одного внутреннего класса C на другой на самом деле ничего не дает. Если вы находитесь в сети, вы все равно получите тот же доступ независимо от IP-адресов.
Может быть небольшая разница с точки зрения людей, которые не знают, что они делают, принося свои собственные беспроводные маршрутизаторы, которые по умолчанию будут 192.168.0 / 32. Но это действительно небезопасно.
Многие из сегодняшних угроз исходят изнутри, когда пользователи неосторожно запускают вредоносное ПО. Хотя может и не предлагать много защиты, я бы не стал полностью отвергать это как городскую легенду.
Это можно было бы назвать безопасностью через неизвестность, если бы защита полагалась только на неизвестность (например, размещение секретного документа на общедоступном веб-сервере со «случайным» именем папки), это явно не так.
Некоторые сценарии могут быть жестко запрограммированы для сканирования диапазона 192.168.1.x и распространения своей собственной копии. Другая практическая причина заключается в том, что домашние маршрутизаторы обычно настраиваются с этим диапазоном, поэтому он может конфликтовать при настройке vpn с домашних компьютеров, что иногда приводит к авариям.
Если злоумышленник может взломать вашу внутреннюю сеть, он сможет узнать ваш диапазон IP-адресов.
Это примерно так: если единственной защитой, которую вы используете, является диапазон IP-адресов, я могу подключить ненастроенный компьютер к коммутатору и узнать конфигурацию вашей сети за пару секунд, просто с помощью запросов ARP. По сути, это непростая работа, если единственная причина - «безопасность».
Вся боль, никакой выгоды.
Использование одного класса адресации по сравнению с другим не обеспечивает реальной безопасности сверх того, что уже реализовано.
Существует три основных типа приватизированных классов IP-адресов:
Класс A: 10.0.0.0 - 10.255.255.255 Класс B: 172.16.0.0 - 172.31.255.255 Класс C: 192.168.0.0 - 192.168.255.255