Pregunta 192.168.1.x más explotable?


Nuestra firma de servicios de TI está proponiendo una reconfiguración de la red para usar el rango de IP 10.10.150.1 - 10.10.150.254 internamente, ya que establecen el esquema de IP actual utilizando los valores predeterminados del fabricante de 192.168.1.x es "hacerlo fácil de explotar".

¿Es esto cierto? ¿Cómo saber / no saber el esquema de IP interno hace que una red sea más explotable? Todos los sistemas internos están detrás de un enrutador de firewall y NAT de SonicWall.


24
2018-06-30 17:33


origen


Pensé en añadir esta pregunta: serverfault.com/questions/33810/…  Parece que esto describe algunos problemas que puede tener si tuviera que ir por esta ruta. - Joshua Nurczyk
Si no tiene un NDA con la compañía de servicios de TI, ¿puede nombrarlos y avergonzarlos? Entonces todos aquí pueden evitarlos debido a su falta de pistas y el deseo de crear un trabajo facturable que no logre nada - goo
Despedirlos son "no inteligentes" .. - dc5553


Respuestas:


Esto agregará, en el mejor de los casos, una capa muy delgada de "seguridad por oscuridad", ya que 192.168.xy es una forma de dirección de red más comúnmente utilizada para redes privadas, pero para utilizar las direcciones internas, los chicos malos ya deben estar dentro de su red. , y solo el esquema de direcciones "no estándar" engañará a las herramientas de ataque más estúpidas.

No costó casi nada implementar esto, y no ofrece casi nada a cambio.


55
2018-06-30 17:39



+1 por "no cuesta nada ofrece casi nada". Me preguntaría si tal cambio podría o no ser más doloroso en valor que su valor, pero si está REALMENTE preocupado ... siga adelante y use un rango de IP no estándar. Solo asegúrate de cambiar las contraseñas y puertos de tu enrutador predeterminados ... porque de lo contrario es simplemente embarazoso. mueca - KPWINC
Dependiendo del tamaño de su red, diría que el costo es mucho mayor que nada. Si realmente desea hornear los fideos de los consultores, dígale que cree que la previsibilidad es una base de la seguridad de la información, e implementar este cambio hará que la red sea menos segura porque requerirá que modifique muchas listas de control de acceso y otros controles técnicos de seguridad. . - dr.pooter
Estoy de acuerdo con el dr.pooter en este caso. Este es un cambio muy grande en su infraestructura, con casi ningún beneficio real. Para un entorno de tamaño mediano y superior, la logística (y los riesgos) de esto son la invocación de úlceras. - Scott Pack
Otro acuerdo. El cambio solo "no cuesta nada" en una red completamente DHCP que no requiere direcciones IP estáticas (generalmente significa que no hay servidores en la red). Cuesta dolores de cabeza y mucho tiempo de lo contrario. - Joshua Nurczyk
+1 de acuerdo. Yo desconfiaría de cualquiera que se tome la molestia de implementar algo con el único propósito de seguridad por medio de la oscuridad. - squillman


A mí me suena como un trabajo aburrido.

Aparte del hecho de que muchos dispositivos de consumo utilizan el espacio de direcciones 192.168.x.x (que puede explotarse, como cualquier otra cosa), no creo que eso realmente cambie el panorama de seguridad de una red corporativa. Las cosas en el interior están bloqueadas, o no lo están.

Mantenga sus máquinas / dispositivos en el software / firmware actual, siga las mejores prácticas para la seguridad de la red y estará en buena forma.


30
2018-06-30 17:45



+1 por la observación de "trabajo ocupado facturable". Alguien debe pagar su contrato de arrendamiento para el año y se volvió creativo con las propuestas de sus clientes. =) - Wesley
+1 Sí, lo que dijo Nonapeptide - squillman
+1 - ¡Quizás la compañía de alarma antirrobo sugiera que intentes pintar el exterior del edificio con colores de camuflaje para evitar a los ladrones! Seguridad a través del absurdo ... - Evan Anderson


Parece que su empresa de TI quiere algún trabajo facturable para mí.

La única razón legítima en la que puedo pensar para alejarme de las subredes 192.168.0.xo 192.168.1.x se debe a la posibilidad de tener subredes superpuestas con clientes vpn. Esto no es imposible de solucionar, pero agrega algunas complicaciones a la configuración de vpn y al diagnóstico de problemas.


10
2018-06-30 17:47



Sí, esta es la única razón por la que generalmente elijo redes extrañas como 10.117.1.0/24 para oficinas que pueden tener usuarios VPN en ellas. - kashani
@kashani Esa es una práctica sensata. Tan sensato, de hecho, que si desea utilizar direcciones privadas en IPv6, incluso es obligatorio en RFC 4193 poner 40 bits aleatorios en el prefijo. - kasperd


Una gran ventaja de no usar el direccionamiento 192.168.x.x es evitar la superposición con las redes domésticas de los usuarios. Al configurar VPN es mucho más predecible si su red es distinta de la suya.


9
2017-07-01 12:57



+1: esta es una de las dos buenas razones para cambiar (la otra necesita más direcciones en la subred). - Richard


No creo que esto sea probable.
Cualquier exploit que valga la pena su peso lo usará todo. tres rangos de subredes privadas para escanear.

Aquí hay algunas referencias para su TI,


8
2018-06-30 17:40





(huele ... huele) Huelo ... algo. Parece que viene de la dirección de su empresa de TI. Huele a ... tontería.

La conmutación de subredes proporciona, en el mejor de los casos, una figura de protección. No importa el resto de ustedes no está cubierto ...

Los días de los virus codificados son largo pasado, y encontrará que el código malicioso es lo suficientemente "inteligente" para mirar la subred de la máquina infectada y comenzar a escanear desde allí.


7
2018-06-30 17:49



+1 para figleaf. - msanford
Originalmente iba a decir "pieza clave", pero de alguna manera eso sonaba más fuerte de lo necesario. - Avery Payne


Yo diría que no es más seguro. Si entran en su enrutador, les mostrará el rango interno de todos modos.


6
2018-06-30 17:39





Como dijo otra persona, solo una buena razón para cambiar de 192.168.1.x es si está utilizando VPN de enrutadores domésticos en el lado del cliente. Es la razón por la que cada red que administro tiene una subred diferente porque yo y mis máquinas cliente hacemos VPN.


3
2018-06-30 18:53