Frage 192.168.1.x mehr ausnutzbar?


Unsere IT-Service-Firma schlägt eine Netzwerk-Rekonfiguration vor, um die IP-Bereiche 10.10.150.1 - 10.10.150.254 intern zu verwenden, da sie das aktuelle IP-Schema mit den Hersteller-Standardeinstellungen 192.168.1.x angeben, was "es einfach zu nutzen macht".

Ist das wahr? Wie macht es ein Netzwerk besser nutzbar, wenn man das interne IP-Schema kennt / nicht kennt? Alle internen Systeme sind hinter einem SonicWall NAT- und Firewall-Router.


24
2018-06-30 17:33


Ursprung


Dachte ich würde diese Frage hinzufügen: serverfault.com/questions/33810/...  Es scheint, dass dies einige Probleme beschreibt, die Sie haben könnten, wenn Sie diesen Weg gehen würden. - Joshua Nurczyk
Wenn Sie keine NDA mit der IT-Service-Firma haben, können Sie sie benennen und beschämen? Dann können sie alle hier meiden, weil sie keine Ahnung haben und den Wunsch haben, abrechenbare Arbeit zu schaffen, die nichts bringt - goo
Feuern Sie sie, sie sind "nicht schlau" .. - dc5553


Antworten:


Dies wird bestenfalls eine sehr dünne Schicht von "Sicherheit durch Dunkelheit" hinzufügen, da 192.168.xy eine viel häufiger verwendete Netzwerkadresse für private Netzwerke ist, aber um die internen Adressen zu verwenden, müssen schlechte Jungs bereits in Ihrem Netzwerk sein und nur die dümmsten Angriffswerkzeuge werden durch das "Nicht-Standard" -Adressschema getäuscht.

Es kostet fast nichts, um dies zu implementieren, und es bietet fast nichts als Gegenleistung.


55
2018-06-30 17:39



+1 für "kostet nichts bietet fast nichts". Ich würde in Frage stellen, ob eine solche Änderung nicht mehr ein Schmerz in der a $$ als sein Wert ist, aber wenn Sie wirklich, WIRKLICH besorgt sind ... gehen Sie voran und verwenden Sie eine nicht-Standard-IP-Bereich. Achten Sie darauf, Ihre Standard-Router-Passwörter und -Ports zu ändern ... weil es sonst einfach peinlich ist. Grinsen - KPWINC
Abhängig von der Größe Ihres Netzwerks würde ich argumentieren, dass die Kosten viel größer als nichts sind. Wenn Sie die Berater-Nudel wirklich backen möchten, sagen Sie ihm, dass Sie glauben, dass Vorhersehbarkeit eine Grundlage der Informationssicherheit ist, und die Implementierung dieser Änderung wird das Netzwerk weniger sicher machen, da Sie viele Zugriffskontrolllisten und andere technische Sicherheitskontrollen ändern müssen . - dr.pooter
Ich stimme mit dr.pooter überein. Dies ist eine sehr große Änderung Ihrer Infrastruktur, mit fast keinem wirklichen Vorteil. Für eine mittelgroße Umgebung und höher, die Logistik (und Risiken) davon sind Ulkus aufrufen. - Scott Pack
Eine andere Vereinbarung. Die Änderung kostet nur "nichts" in einem kompletten DHCP-Netzwerk, das keine statischen IP-Adressen benötigt (normalerweise keine Server im Netzwerk). Es kostet Kopfschmerzen und viel Zeit sonst. - Joshua Nurczyk
+1 vereinbart. Ich würde mich vor jemandem in Acht nehmen, der sich bemüht, etwas nur zum Zweck der Sicherheit durch Dunkelheit zu implementieren. - squillman


Klingt wie abrechenbare Arbeit für mich.

Abgesehen von der Tatsache, dass viele Consumer Appliances den Adressraum 192.168.x.x nutzen (der wie jeder andere auch ausgenutzt werden kann), glaube ich nicht, dass dies die Sicherheitslandschaft eines Unternehmensnetzwerks wirklich verändert. Die Dinge im Inneren sind verschlossen, oder sie sind es nicht.

Halten Sie Ihre Maschinen / Geräte auf der aktuellen Software / Firmware, folgen Sie den Best Practices für die Netzwerksicherheit und Sie werden in guter Verfassung sein.


30
2018-06-30 17:45



+1 für die "abrechenbare Busywork" Beobachtung. Jemand muss seinen Mietvertrag für das Jahr bezahlen und wird mit seinen Kundenvorschlägen kreativ. =) - Wesley
+1 Ja, was Nonapeptid gesagt hat - squillman
+1 - Vielleicht schlägt die Einbruchsalarmfirma vor, dass Sie das Äußere des Gebäudes in Tarnfarben bemalen, um Einbrecher abzuwehren! Sicherheit durch Absurdität ... - Evan Anderson


Klingt wie Ihre IT-Firma will etwas abrechenbare Arbeit für mich.

Der einzige legitime Grund, warum ich daran denken kann, mich von den Subnetzen 192.168.0.x oder 192.168.1.x fernzuhalten, liegt an der Wahrscheinlichkeit, überschneidende Subnetze mit vpn-Clients zu haben. Dies ist nicht unmöglich zu umgehen, aber fügt einige Komplikationen bei der Einrichtung von VPN-und Diagnose-Probleme.


10
2018-06-30 17:47



Yep, das ist der einzige Grund, warum ich normalerweise seltsame Netzwerke wie 10.117.1.0/24 für Büros wähle, in denen Benutzer VPNs haben können. - kashani
@ Kashani Das ist eine vernünftige Praxis. So sinnvoll in der Tat, dass wenn Sie private Adressen in IPv6 verwenden möchten, ist es sogar vorgeschrieben in RFC 4193 um 40 zufällige Bits in das Präfix zu setzen. - kasperd


Ein großer Vorteil bei der Verwendung der 192.168.x.x-Adressierung besteht darin, Überschneidungen mit den Heimnetzwerken der Benutzer zu vermeiden. Beim Einrichten von VPN ist es viel vorhersagbarer, wenn sich Ihr Netzwerk von ihren unterscheidet.


9
2017-07-01 12:57



+1: Dies ist einer von zwei guten Gründen, um zu ändern (der andere braucht mehr Adressen im Subnetz). - Richard


Ich denke nicht, dass das wahrscheinlich ist.
Jeder Exploit, der sein Gewicht wert ist, wird alles nutzen drei private Subnetzbereiche zum Scannen.

Hier sind einige Referenzen für Ihre IT,


8
2018-06-30 17:40





(schnüffle ... rieche) Ich rieche ... etwas. Es scheint aus der Richtung Ihrer IT-Firma zu kommen. Riecht wie ... Quatsch.

Das Wechseln von Subnetzen bietet bestenfalls eine Schutzfunktion. Vergiss nicht, dass der Rest von dir nicht bedeckt ist ...

Die Tage der hartcodierten Viren sind lange Vergangenheit, und Sie werden feststellen, dass bösartiger Code "intelligent" genug ist, um das Subnetz der infizierten Maschine zu betrachten und von dort aus zu scannen.


7
2018-06-30 17:49



+1 für figleaf. - msanford
Ursprünglich wollte ich "Codpiece" sagen, aber das klang irgendwie stabiler als nötig ... - Avery Payne


Ich würde sagen, es ist nicht sicherer. Wenn sie in Ihren Router einbrechen, zeigt sie ihnen sowieso den internen Bereich an.


6
2018-06-30 17:39





Wie eine andere Person sagte, ist nur ein guter Grund, von 192.168.1.x zu ändern, wenn Sie VPN von Heim-Router auf der Client-Seite verwenden. Das ist der Grund, warum jedes Netzwerk, das ich administriere, ein anderes Subnetz hat, weil ich und meine Client-Rechner VPN betreiben.


3
2018-06-30 18:53





Meine Vermutung wäre, dass einige Exploit-Skripte für Drive-by-Router hardcoded sind, um auf die Standard-Homerout-Adresse zu schauen. Ihre Antwort ist also "Sicherheit durch Dunkelheit" ... außer dass es nicht obskur ist, denn abhängig davon, wie das Skript funktioniert, hat es wahrscheinlich Zugriff auf die Gateway-Adresse.


2
2018-06-30 17:37





Wirklich, es ist nur eine urbane Legende.

Wie auch immer, ihre Argumentation könnte wie folgt lauten: Angenommen, der Bereich 192.168.x.0 / 24 wird häufiger verwendet. Dann, vielleicht, wird die nächste Annahme sein, dass, wenn ein Stück bösartige Software auf einem der PCs wäre, würde es den Bereich 192.168.x.0 / 24 für aktive Computer scannen. Ignorieren Sie die Tatsache, dass wahrscheinlich ein Windows-Mechanismus für die Netzwerkerkennung verwendet wird.

Noch einmal - es klingt für mich wie Fracht-Kultismus.


2
2018-06-30 17:40