Риски использования неличных IP-адресов внутри?

Моя компания получила крупную промышленную машину со многими сетевыми устройствами. К сожалению, ответственный инженер использовал публичный диапазон IP-адресов на машине. Я в Европе. Выбранный диапазон адресов принадлежит американской компании. Скажем, это 143.166.0.0 (который фактически принадлежит Dell).

Предположим, что я не подключаю машину к нашей локальной сети (на данный момент), но я подключаю свой ноутбук к ней для программирования устройства - скажем, 143.166.0.1. Давайте также скажем, что мой сетевой адаптер для ноутбука подключен к локальной сети компании и, следовательно, к Интернету. Теперь у меня есть два возможных маршрута для двух устройств, которые имеют общий адрес. Локальный, который я хочу, и адрес Dell.

Мой вопрос: «Как я волновался?» Что должно и должно произойти в этом случае? Я предполагаю, что локальная машина ответит первой, и я могу уйти от нее, но в конечном итоге меня укусят. Кстати, я видел публичные IP-адреса на других машинах. Кажется, инженеры либо не понимают частной адресации, либо не ожидают, что их машина будет подключена к более широкому миру.

Любые идеи /комментарии? (которые не связаны с насилием со стороны машиниста)?

Эпилог

Мы обнаружили интересную проблему, которая заставила нас изменить IP-адреса на частные.

  • Одно из устройств на компьютере запрограммировано через Internet Explorer с использованием компонента ActiveX. Это устройство попытается вывести данные в «прослушиватель» ActiveX (вместо обычного режима браузера запроса данных с удаленного сервера).
  • Наша конфигурация Active Directory загружает политики безопасности на наши компьютеры при входе в систему. Включенный в политику список надежных сайтов. К ним относятся:
    • Утвержденные адреса компаний.
    • Различные внешние адреса, такие как наш банк.
    • Частные адреса 192.168.0.0/16, 172.16.0.0/20 и 10.0.0.0/24.
    • Все остальное заблокировано.
  • Из-за политики безопасности компонент ActiveX никогда не получал никаких данных, поскольку входящий трафик блокируется политикой безопасности!

Это вынудило меня изменить адрес поставщика на 172.16.0.0. Я буду спать легче.

Спасибо за весь интерес.

20 голосов | спросил Transistor 26 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowThu, 26 Sep 2013 02:14:44 +0400 2013, 02:14:44

4 ответа


20

Короткий ответ: Дублирование выделенных публичных адресов - плохая идея.

Немного более длинный ответ: оставляя в стороне проблемы маршрутизации на данный момент, небезопасно предполагать, что вам никогда не понадобится добраться до этой машины из какого-либо места, кроме непосредственно подключенного кабеля, или что публичные или частные распределения адресов являются статическими и никогда не изменится.

Проблемы удаленного доступа очевидны: глобальный Интернет считает, что 143.166 /16 находится в одном месте, и вы хотите, чтобы он был в другом. Маршрутизаторы не будут работать на вашем компьютере.

И собственность может измениться. Даже если этот адрес не был назначен Dell, он может быть выделен им в будущем. Сегодня у Dell есть этот адрес, но завтра может быть кто-то другой, с другим маршрутом. Кто знает? Ваша организация может даже купить этот адресный блок, с еще большим количеством приключений маршрутизации.

Нижняя строка: не предполагайте, что дублирующие IP-адреса можно безопасно отключить навсегда.

Что касается маршрутизации, ваш проводной интерфейс предпочитает локальный адрес через Dell. Ваш проводной интерфейс отправит ARP-запрос на этот адрес и получит его непосредственно с промышленной машины, не потребуется никакого шлюза. После этого пакеты, предназначенные для этого адреса, будут использовать MAC-адрес назначения промышленной машины.

Это будет работать нормально, поскольку вы используете только кабель для доступа, и до тех пор, пока вам никогда не нужно будет добираться до этой машины где-то еще, и пока глобальная таблица маршрутизации остается статической.

Это много, если. Лучше избегать проблемы, используя либо уникальный публичный адрес, либо что-то из частного пула адресов.

ответил user8162 26 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowThu, 26 Sep 2013 02:32:59 +0400 2013, 02:32:59
12

Единственная проблема - неспособность разговаривать с настоящими (интернет) машинами с этими адресами. Конечно, вы можете поместить межсетевой экран («nat box») между вашей сетью и этой штукой, чтобы он выглядел как частные адреса в вашей сети.

Подобные вещи возникали повсюду в течение многих лет из-за того, что люди ленивы и использовали «неназначенные» адреса для своих целей; теперь, когда они назначены, это представляет небольшую проблему.

[Изменить: для записи я никогда не перенумеровал свою домашнюю сеть. но мне вряд ли когда-нибудь понадобится поговорить с людьми, у которых теперь есть адресное пространство. 15 лет и подсчет ...]

ответил Ricky Beam 26 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowThu, 26 Sep 2013 02:32:58 +0400 2013, 02:32:58
7
  

Мой вопрос: «Как я волновался?» Что и должно   случаются в этом случае? Я предполагаю, что локальная машина ответит   во-первых, и что я могу уйти от него, но в конечном итоге я получу   укусил.

В качестве побочного примечания речь идет не о том, кто первым отвечает. Если вы укажете вашему компьютеру адрес в той же подсети, трафик пойдет прямо на машину, а маршрутизаторы не будут задействованы.

Даже если вы будете использовать маршрутизацию, введя маршрут до 143.166.0.0/16 на некоторых внутренних маршрутизаторах в своей сети, они предпочтут этот маршрут по маршруту (по умолчанию?) в Интернет. Это происходит потому, что предпочтительным является «самый длинный префиксный матч», т.е. выбирается наиболее конкретный маршрут.

Правильно ли вы получите чистый результат, часть 143.166.0.0/16 Интернета будет недоступна для вас или вашей сети, если вы установите маршрут во внутренних маршрутизаторах. /16 кажется немного большим для этой проблемы, чем меньше подсеть, на которую вы направляете, тем меньше вероятность укуса.

ответил Gerben 26 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowThu, 26 Sep 2013 14:40:10 +0400 2013, 14:40:10
0

Ниже приведен мой отредактированный ответ - который изначально не понял, что это не «принадлежащее» IP-пространство, а вместо чужого пространства.

Пока это ваше пространство , это не имеет значения. IP-адрес - это IP-адрес. Ваши приложения не знают, что является приватным, и что является публичным. Если у вас есть пространство, у вас могут быть даже некоторые подсети, которые являются «внутренними», а некоторые из которых доступны «снаружи» - управляются с помощью обычных элементов управления маршрутизации, брандмауэров и т. Д.

Все общедоступное пространство на внутреннем уровне означает, что вам не нужно беспокоиться о том, что NAT будет входить или выходить из вашей сети.

Если это не ваше собственное IP-пространство, а чужое, оно может технически работать. Однако вы никогда не сможете достичь своего места без больших усилий и конфирмации, таких как туннелирование, NAT или двойной NAT или более конкретная маршрутизация. Лучше всего предлагать переадресовать вашу сеть в письменной форме и подробно описывать, как это сделать, как ее можно управлять и т. Д. Получите ее в письменной форме, а затем, если есть какие-либо проблемы, вы можете вытащить свой «Я сказал вам так по электронной почте ".

Предыдущие голоса ниже были из моего первоначального ответа, в котором я неправильно понял вопрос.

Спасибо всем.

ответил Pseudocyber 26 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowThu, 26 Sep 2013 02:24:41 +0400 2013, 02:24:41

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132