Riscos de usar endereços IP não privados internamente?

20

Minha empresa recebeu uma grande máquina industrial com muitos dispositivos em rede. Infelizmente, o engenheiro responsável usou um intervalo de endereços IP públicos na máquina. Estou na europa O intervalo de endereços escolhido pertence a uma empresa nos EUA. Digamos que seja 143.166.0.0 (que realmente pertence à Dell).

Vamos supor que não conecto a máquina à LAN da empresa (por enquanto), mas conecto meu laptop a ela para programar um dispositivo - por exemplo, 143.166.0.1. Digamos também que o adaptador de rede sem fio do meu laptop esteja conectado à LAN da empresa e, portanto, à Internet. Agora eu tenho duas rotas possíveis para dois dispositivos que compartilham um endereço. O local que eu quero e o endereço da Dell.

Minha pergunta é: "Quão preocupado eu deveria estar?" O que deveria e aconteceria nesse caso? Meu palpite é que a máquina local responderia primeiro e que eu poderia me safar, mas eventualmente serei mordido. Aliás, eu já vi endereços IP públicos em outras máquinas também. Parece que os engenheiros não entendem o endereço privado ou não esperam que sua máquina esteja conectada ao mundo inteiro.

Alguma idéia / comentário? (que não envolva violência ao engenheiro de máquinas)?

Epílogo

Encontramos um problema interessante que nos forçou a alterar os endereços IP para privados.

  • Um dos dispositivos na máquina é programado via Internet Explorer usando um componente ActiveX. Este dispositivo tentará enviar dados ao 'ouvinte' do ActiveX (em vez do modo usual do navegador de solicitar dados de um servidor remoto).
  • Nossa configuração do Active Directory baixa políticas de segurança em nossos computadores no login. Incluída na política está a lista de sites confiáveis. Esses incluem:
    • Endereços da empresa aprovados.
    • Vários endereços externos, como o nosso banco.
    • Endereços privados 192.168.0.0/16, 172.16.0.0/20 e 10.0.0.0/24.
    • Tudo o resto está bloqueado.
  • Devido à política de segurança, o componente ActiveX nunca recebeu nenhum dado, pois o tráfego recebido é bloqueado pela política de segurança!

Isso me forçou a pedir que o fornecedor alterasse os endereços para 172.16.0.0. Eu vou dormir mais fácil.

Obrigado por todo o interesse.

routing ipv4 Transistor
fonte

Respostas:

21

Resposta curta: duplicar endereços públicos alocados é uma má ideia.

Resposta um pouco mais longa: deixando de lado os problemas de roteamento no momento, não é seguro supor que você nunca precisará acessar esta máquina de algum lugar que não seja um cabo diretamente conectado ou que as alocações de endereços públicos ou privados sejam estáticas e nunca serão alteradas .

Os problemas de acesso remoto são óbvios: a Internet global acha que 143.166 / 16 está em um lugar e você deseja que esteja em outro. Os roteadores não vão para a sua máquina.

E a propriedade pode mudar. Mesmo que esse endereço não tenha sido atribuído à Dell, ele poderá ser alocado a eles no futuro. A Dell tem esse endereço hoje, mas alguém pode ter amanhã, com uma rota diferente. Quem sabe? Sua organização pode até comprar esse bloco de endereços, com ainda mais aventuras de roteamento.

Conclusão: não presuma que IPs duplicados possam ser protegidos com segurança para sempre.

Quanto ao roteamento, sua interface com fio prefere o endereço local sobre o da Dell. Sua interface com fio enviaria uma solicitação ARP para esse endereço e a obteria diretamente da máquina industrial, sem necessidade de gateway. Posteriormente, os pacotes destinados a esse endereço usariam o endereço MAC de destino da máquina industrial.

Isso funcionará bem, pois você usará apenas um cabo para acesso, e contanto que você nunca precise acessar esta máquina de outro lugar, e enquanto a tabela de roteamento global permanecer estática.

Isso é um monte de ifs. É melhor evitar o problema usando um endereço público exclusivo ou algo fora do pool de endereços privados.

user8162
fonte
Vocês estão certos - me desculpe, eu não entendi que era o espaço de outra pessoa. Obrigado.
Pseudocyber
12

O único problema será a incapacidade de conversar com as máquinas reais (internet) com esses endereços. Obviamente, você pode colocar um firewall ("caixa nat") entre sua rede e isso para parecer endereços particulares à sua rede.

Esse tipo de coisa surgiu em todos os lugares por muitos anos devido ao fato de as pessoas serem preguiçosas e usarem endereços "não atribuídos" para seus próprios propósitos; agora que eles estão atribuídos, apresenta um pequeno problema.

[Editar: para registro, nunca renumerei minha rede doméstica. mas provavelmente não preciso falar com as pessoas que agora têm esse espaço de endereço. 15 anos e contando ...]

Ricky Beam
fonte
5
+1, eu acrescentaria que o tamanho do problema depende de quão longe você deixa esses endereços entrarem no seu IGP e quantos desses endereços vazam para o restante da sua empresa. Infelizmente, alguém adicionou grandes pedaços dos blocos Classe A da AT&T em todo o nosso IGP antes de eu chegar aqui.
Mike Pennington
8

Minha pergunta é: "Quão preocupado eu deveria estar?" O que deveria e aconteceria nesse caso? Meu palpite é que a máquina local responderia primeiro e que eu poderia me safar, mas eventualmente serei mordido.

Como nota lateral, não se trata de quem responde primeiro. Se você fornecer um endereço ao computador na mesma sub-rede, o tráfego será direto para a máquina, sem roteadores envolvidos.

Mesmo se você usasse o roteamento, inserindo uma rota para 143.166.0.0/16 em alguns roteadores internos da sua rede, eles preferirão essa rota à rota (padrão?) Da Internet. Isso acontece porque a "correspondência de prefixo mais longa" é preferida, ou seja. a rota mais específica é escolhida.

Você está correto sobre o resultado líquido, a parte 143.166.0.0/16 da Internet estará inacessível para você ou sua rede, caso você instale a rota em seus roteadores internos. / 16 parece um pouco grande para esse problema, quanto menor a sub-rede para a qual você encaminha, menor a chance de ser mordido.

Gerben
fonte
0

Abaixo, está minha resposta editada - que originalmente não entendeu que não era "propriedade" do espaço IP, mas sim o espaço de outra pessoa.

Contanto que seja o seu espaço, não importa. Um endereço IP é um endereço IP. Seus aplicativos não sabem o que é privado e o que é público. Se você tiver espaço, poderá até ter algumas sub-redes "internas" e outras acessíveis externamente - controláveis ​​com os controles de roteamento, firewalls, etc.

Todo o espaço público interno significa que você não precisa se preocupar com o NAT para entrar ou sair da sua rede.

Se NÃO é o seu próprio espaço IP, mas o de outra pessoa, ele pode funcionar tecnicamente. No entanto, você nunca será capaz de alcançar o espaço sem muito esforço e confiuração extras - como tunelamento, NAT ou NAT duplo ou roteamento mais específico. Seria melhor sugerir o reajuste de sua rede, por escrito, e detalhes de como fazê-lo, como ele pode ser gerenciado, etc. Obtê-lo por escrito; se houver algum problema, você poderá retirar seu "Eu te disse por e-mail "

Os votos abaixo foram da minha resposta original, na qual interpretei mal a pergunta.

Obrigado a todos.

Pseudocélula
fonte
Sinto muito, mas tenho que fazer um voto negativo, enquanto você pode usar o espaço de endereço de outra pessoa, não é tão fácil quanto você está dizendo.
Mike Pennington
Down-voto de mim para "não importa Talvez não importa agora, mas ele acabará por morder alguém quando menos se espera..
generalnetworkerror