Использование ip диапазона вне разрешенных для локальной сети?

Question

Zhasik @Zhasik

Использование ip диапазона вне разрешенных для локальной сети?

Добрый день,

В данный момент занимаюсь техническим аудитом в компании. Внутренняя сеть делится на несколько диапазонов, одна из которых закрытая без доступа в интернет. Так у этой закрытой сети диапазон 192.100.xxx.yyy, данный диапазон не является разрешенным для использования в локальной сети.
Какие проблемы могут возникнуть от использования данной сети? Что если на пограничный маршрутизатор попадет пакет от ip адреса из интернета начинающимся с 192.100. и тд. Существует ли возможность пробраться через NAT внутрь сети или в случае получения запроса от ip адреса с общей подсети то ответ будет направлен напрямую. Можете пожалуйста помочь с оценкой рисков связанных с безопасностью и эксплуатацией таких сетей?

Вопрос задан более трёх лет назад
343 просмотра

Комментировать

Подписаться 3 Средний Комментировать

Решения вопроса 1

2 комментария

Пригласить эксперта

Ответы на вопрос 4

3 комментария

Zhasik @Zhasik Автор вопроса

К сожалению это легче сказать чем сделать. Такая сеть у них развернута в 10 географически распределенных офисах через VPN и плюс еще маршрутизация прописана чуть ли не на каждом узле.
Усугубляет это все то, что система которая крутится в этой сети должна работать круглые сутки 365 дней в год.

Написано более трёх лет назад
Дмитрий Шицков @Zarom

Zhasik, масштабная инфраструктура на статической маршрутизации? Совсем печаль. А как тогда контролируется что эта сеть в интернет не ходит? Да и опытный сетевик без даунтайма мог бы перевести на другую адресацию.

Написано более трёх лет назад
Zhasik @Zhasik Автор вопроса

Дмитрий Шицков, На пограничных маршрутизаторах запрещен NAT и forward в WAN для подсети 192.100.0.0/16.
Еще проблема в том, что ip-адреса для взаимодействия компонентов информационной системы прописываются на каждом узле. Все это вместе увеличивает стоимость перехода в разы и риск даунтайма.

Дешевле все оставить как есть сейчас. Но охото послушать мнение экспертов для оценки рисков такой сети.

Написано более трёх лет назад

Комментировать

5 комментариев

athacker @athacker

Уничтожит.

С чего вдруг? Пакет пойдёт в default gateway маршрутизатора.

А уничтожен он будет только в случае, если на шлюзе сети компании явным образом прописано соответствие подсетей и интерфейсов. Но в реальности этим мало кто заморачивается. И тем более это не будет делать оператор, т. к. за клиентским шлюзом могут быть и другие клиенты (если это суб-провайдер), поэтому ACL на подсетях настраивать скорее всего не будут. Иными словами -- с высокой долей вероятности пакет, запущенный из локалки, где выдаются адреса 192.200.0.0, пройдёт до DST IP в интернете, а вот ответ от DST IP уже долетит до реального хоста из сети 192.200.0.0, и в локалку, конечно же, не вернётся.

Написано более трёх лет назад
АртемЪ @Jump

athacker, Входящий пакет пойдет в default gateway?

Написано более трёх лет назад
athacker @athacker

АртемЪ, ЛЮБОЙ пакет, попавший на маршрутизатор, и для DST которого нет прямых маршрутов (статических или динамических) будет отправлен маршрутизатором в дефолт. Собственно, так будет делать не только маршрутизатор, но и любой хост, в котором включен ip_forward. Воспрепятствовать этому поведению можно только с помощью файрвола или PBR.

Но чаще всего, как я уже говорил, фильтрацию трафика не настраивают.

Написано более трёх лет назад
Zhasik @Zhasik Автор вопроса

По поводу недоступности внешних сервисов. Они в принципе не нужны так как эта сеть закрыта и особо охраняется в Компании, у них есть несколько еще сетей со стандартными диапазонами.

Просто хотелось бы послушать мнение по поводу того какие потенциальные проблемы это может вызвать или уязвимости сети.

Написано более трёх лет назад
АртемЪ @Jump

Zhasik, А какие там могут быть уязвимости? Обычная сеть. Кого там волнует, какая там адресация.

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Информационная безопасность

+1 ещё

Средний
Как рассчитать количество информации в двоично-симметричном канале?
- 1 подписчик
- 10 часов назад
- 29 просмотров
0

ответов
Компьютерные сети

+2 ещё

Простой
Как пробросить RTSP видеопоток в другую подсеть?
- 1 подписчик
- вчера
- 137 просмотров
1

ответ
Информационная безопасность

Простой
Какие сканеры уязвимости посоветуете?
- 1 подписчик
- вчера
- 73 просмотра
1

ответ
Компьютерные сети

+2 ещё

Простой
Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?
- 2 подписчика
- вчера
- 298 просмотров
1

ответ
Информационная безопасность

+1 ещё

Средний
Может ли при подключении внешний жёсткий диск показать иной серийный номер?
- 1 подписчик
- вчера
- 67 просмотров
0

ответов
Информационная безопасность

+1 ещё

Простой
В каких случаях возможно использование несертифицированного Web Application Firewall?
- 2 подписчика
- вчера
- 144 просмотра
1

ответ
Компьютерные сети

+3 ещё

Средний
Как получить полную скорость от cisco 2921?
- 1 подписчик
- 20 апр.
- 165 просмотров
2

ответа
Компьютерные сети

+2 ещё

Средний
Как настроить ACL между vlan, чтобы был полный доступ с одного vlan, с другого нет?
- 1 подписчик
- 18 апр.
- 128 просмотров
2

ответа
Сетевое администрирование

+2 ещё

Средний
Логирование посещения сайтов windows server 2008, 2008 R2, 2019?
- 1 подписчик
- 17 апр.
- 159 просмотров
0

ответов
Компьютерные сети

+3 ещё

Средний
Почему не работает правило Firewall на OPNsense?
- 1 подписчик
- 16 апр.
- 121 просмотр
1

ответ
Показать ещё Загружается…

Специалист технической поддержки (работа из офиса г.Казань)

Данафлекс • Казань

от 60 000 ₽

Инженер по системному администрированию

Деловая среда от Сбербанка • Москва

До 209 000 ₽

Эксперт Oracle DBA

Softline • Москва

от 300 000 ₽

Собрать семантическое ядро + ТЗ копирайтеру для крупного сайта

23 апр. 2024, в 21:40

20000 руб./за проект

Реализовать редирект запросов в Chrome Extension Manifest v3

23 апр. 2024, в 21:14

1000 руб./за проект

Переместить сайт написанный на HTML, на python flask

23 апр. 2024, в 21:03

3000 руб./за проект

Answer 1 · 2019-03-12 11:59:47

Максимум чем грозит использование белых адресов внутри сети - это тем, что компы при обращении к ресурсам в интернете с адресами из используемого диапазона будут попадать на свои локальные ресурсы.

В случае попадания пакета с подобным адресом источника в интернет он там и умрет без ответа. Скорее всего его прибьет свой же провайдер. Если же вдруг не прибьет и пакет дойдет до адресата, то ответ будет отправлен реальному владельцу этого адреса, а не вам.

Скорее всего, подобная адресация используется для предотвращения выхода в интернет даже если вдруг другие механизмы защиты не сработают.

Answer 2 · 2019-03-12 12:05:16

Зачем тратить время на всякие оценки рисков? Просто взять и сменить адреса на типовые для локалок. И не мучить себя и других

Answer 3 · 2019-03-12 12:44:55

Какие проблемы могут возникнуть от использования данной сети?

Теоретически - недоступность ресурсов, размещенных на этих адресах, потому что компьютеры будут обращаться к локальным IP. Практически - вряд ли Вас интересует Кения :)

Что если на пограничный маршрутизатор попадет пакет от ip адреса из интернета начинающимся с 192.100. и тд

У нормально настроенного роутера всегда есть правило - если на внешнем интерфейсе пакет с IP интерфейса внутреннего - прибить сразу же.
Диапазон этот был выбран скорее всего из-за админской лени. Я бы просто поменял на разрешенные по RFC1918

Answer 4 · 2019-03-12 12:03:50

Какие проблемы могут возникнуть от использования данной сети?

Недоступность некоторых ресурсов в глобальной сети.

Что если на пограничный маршрутизатор попадет пакет от ip адреса из интернета начинающимся с 192.100. и тд.

Уничтожит.

Можете пожалуйста помочь с оценкой рисков связанных с безопасностью и эксплуатацией таких сетей?

Подсчитайте экономический ущерб образовавшийся от невозможности получить доступ к некоторым ресурсам сети интернет.

Answer 5 · 2019-03-14 10:30:12

ответ, отмеченный решением, в целом хорошо описывает риски. Я бы добавил повышенный риск человеческого фактора из-за ручной конфигурации узлов. Если безопасность критична, то необходим регулярный аудит сетевой безопасности, а так же автоматический мониторинг критической конфигурации узлов. Проводить регулярные сканирования каждого узла извне и каждого сегмента сети - изнутри. Обычно проводится раз в квартал. Возможно потребуются кастомные условия для проверки что каждый сегмент изолирован от интернета.

Использование ip диапазона вне разрешенных для локальной сети?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт