비공개 IP 주소를 내부적으로 사용할 위험이 있습니까?


20

우리 회사는 네트워크 장치가 많은 대형 산업용 기계를 받았습니다. 불행히도 담당 엔지니어는 시스템의 공용 IP 주소 범위를 사용했습니다. 나는 유럽에 있습니다. 선택한 주소 범위는 미국 회사에 속합니다. 그것이 143.166.0.0 (실제로 Dell에 속함)이라고 가정 해 봅시다.

기계를 회사 LAN에 연결하지 않고 (현재는) 랩톱을 연결하여 장치를 프로그래밍한다고 가정합니다 (예 : 143.166.0.1). 내 랩탑 무선 네트워크 어댑터가 회사 LAN과 인터넷에 연결되어 있다고 가정 해 봅시다. 이제 주소를 공유하는 두 개의 장치에 대한 두 가지 가능한 경로가 있습니다. 내가 원하는 로컬 주소와 Dell 주소.

제 질문은 "얼마나 걱정해야합니까?"입니다. 이 경우 어떻게해야합니까? 내 생각에 로컬 컴퓨터가 먼저 응답하고 그것을 피할 수는 있지만 결국 물릴 것입니다. 또한 다른 컴퓨터에서도 공개 IP 주소를 보았습니다. 엔지니어는 개인 주소 지정을 이해하지 못하거나 자신의 컴퓨터가 더 넓은 세상에 연결될 것으로 기대하지 않는 것 같습니다.

어떤 아이디어 / 의견이 있습니까? (기계 엔지니어에게 폭력을 포함하지 않음)?

발문

IP 주소를 개인으로 변경해야하는 흥미로운 문제가 발견되었습니다.

  • 기기의 장치 중 하나는 ActiveX 구성 요소를 사용하여 Internet Explorer를 통해 프로그래밍됩니다. 이 장치는 원격 서버에서 데이터를 요청하는 일반적인 브라우저 모드가 아닌 ActiveX '리스너'로 데이터를 푸시하려고 시도합니다.
  • Active Directory 구성은 로그인시 컴퓨터에 보안 정책을 다운로드합니다. 정책에는 신뢰할 수있는 사이트 목록이 포함되어 있습니다. 여기에는 다음이 포함됩니다.
    • 승인 된 회사 주소.
    • 우리 은행과 같은 다양한 외부 주소.
    • 개인 주소 192.168.0.0/16, 172.16.0.0/20 및 10.0.0.0/24
    • 다른 모든 것은 차단됩니다.
  • 보안 정책으로 인해 들어오는 트래픽이 보안 정책에 의해 차단되어 ActiveX 구성 요소가 데이터를받지 못했습니다!

이로 인해 공급 업체가 주소를 172.16.0.0으로 변경하도록했습니다. 더 편하게 잘 게요

모든 관심에 감사드립니다.

답변:


21

짧은 대답 : 할당 된 공개 주소를 복제하는 것은 나쁜 생각입니다.

약간 더 긴 답변 : 현재 라우팅 문제를 제쳐두고, 직접 연결된 케이블 이외의 장소에서이 시스템에 연결할 필요가 없거나 공개 또는 개인 주소 할당이 정적이고 변경되지 않을 것이라고 가정하는 것은 안전하지 않습니다. .

원격 액세스 문제는 분명합니다. 글로벌 인터넷은 143.166 / 16이 한곳에 있다고 생각하고 다른 곳에 있기를 원합니다. 라우터는 컴퓨터로 이동하지 않습니다.

소유권이 바뀔 수 있습니다. 이 주소가 Dell에 할당되지 않은 경우에도 나중에 할당 할 수 있습니다. Dell은 오늘이 주소를 가지고 있지만 다른 경로를 가진 내일 다른 사람이있을 수 있습니다. 누가 알아? 조직은 더 많은 라우팅 모험과 함께 해당 주소 블록을 구입할 수도 있습니다.

결론 : 중복 IP가 안전하게 안전하게 벽에 떨어질 수 있다고 가정하지 마십시오.

라우팅의 경우 유선 인터페이스는 Dell보다 로컬 주소를 선호합니다. 유선 인터페이스는 해당 주소에 대한 ARP 요청을 전송하고 게이트웨이가 없어도 산업용 시스템에서 직접 가져옵니다. 그 후, 그 주소로 향하는 패킷은 산업 기계의 목적지 MAC 주소를 사용할 것이다.

액세스를 위해 케이블 만 사용하고 다른 곳에서이 머신에 연결할 필요가없고 전역 라우팅 테이블이 정적으로 유지되는 한 제대로 작동합니다.

그것은 많은 경우입니다. 고유 한 공개 주소 또는 개인 주소 풀 이외의 것을 사용하여 문제를 피하는 것이 좋습니다.


당신은 맞아요-미안합니다. 다른 사람의 공간이라는 것을 이해하지 못했습니다. 감사.
Pseudocyber

12

유일한 문제는 해당 주소로 실제 (인터넷) 컴퓨터와 통신 할 수 없다는 것입니다. 물론, 네트워크와 방화벽 사이에 방화벽 ( "nat box")을 설치하여 네트워크의 개인 주소처럼 보이게 할 수 있습니다.

이런 종류의 일은 사람들이 게으르고 자신의 목적으로 "지정되지 않은"주소를 사용하기 때문에 수년 동안 온통 팝업이 나타납니다. 이제 할당되었으므로 작은 문제가 발생합니다.

[편집 : 기록상 홈 네트워크의 번호를 다시 매겼습니다. 하지만 지금 그 주소 공간을 가진 사람들과 대화 할 필요는 없습니다. 15 년 ...]


5
+1, 문제의 크기는 해당 주소가 IGP로 얼마나 멀리 전달되는지와 나머지 주소가 얼마나 많은 회사에 유출되는지에 따라 달라집니다. 슬프게도 누군가 내가 여기에 오기 전에 IGP 전체에 AT & T의 Class A 블록을 추가했습니다.
Mike Pennington

8

제 질문은 "얼마나 걱정해야합니까?"입니다. 이 경우 어떻게해야합니까? 내 생각에 로컬 컴퓨터가 먼저 응답하고 그것을 피할 수는 있지만 결국 물릴 것입니다.

참고로, 누가 먼저 대답하는지에 관한 것이 아닙니다. 컴퓨터에 동일한 서브넷의 주소를 지정하면 트래픽이 라우터없이 컴퓨터로 바로 이동합니다.

라우팅을 사용하여 네트워크의 일부 내부 라우터에서 143.166.0.0/16으로 경로를 입력하더라도 인터넷에 대한 (기본?) 경로를 통해이 경로를 선호합니다. 이는 "가장 긴 접두사 일치"가 선호되기 때문에 발생합니다. 가장 구체적인 경로가 선택됩니다.

인터넷에 143.166.0.0/16 부분의 인터넷 결과에 대한 정확한 정보는 내부 라우터에 경로를 설치하면 사용자 또는 네트워크에 연결할 수 없습니다. / 16은이 문제에 대해 약간 큰 것으로 보입니다. 라우팅하는 서브넷이 작을수록 물릴 확률이 줄어 듭니다.


0

아래는 편집 된 답변입니다. 원래 IP 공간이 "소유"된 것이 아니라 다른 사람의 공간이라는 것을 알았습니다.

만큼 그것은 당신의 공간, 그것은 중요하지 않습니다. IP 주소는 IP 주소입니다. 응용 프로그램은 개인 정보와 공개 내용을 모릅니다. 공간이 있으면 "내부"인 서브넷과 "외부"액세스 가능한 서브넷이있을 수 있습니다. 일반적인 라우팅 제어, 방화벽 등으로 제어 할 수 있습니다.

내부의 모든 공용 공간은 네트워크에 들어 오거나 나가기 위해 NAT에 대해 걱정할 필요가 없다는 것입니다.

자신의 IP 공간이 아니라 다른 사람의 공간 인 경우 기술적으로 작동 할 수 있습니다. 그러나 터널링, NAT 또는 이중 NAT 또는보다 구체적인 라우팅과 같은 많은 추가 노력과 구성 없이는 공간에 도달 할 수 없습니다. 네트워크 재 작성, 작성 방법, 관리 방법 등을 자세하게 제안하는 것이 가장 좋습니다. 서면으로 작성한 후 문제가 발생하면 " ".

아래의 다운 투표는 내 원래 답변에서 얻은 것으로, 질문을 잘못 읽었습니다.

모두 감사합니다.


죄송하지만 다른 사람의 주소 공간을 사용할 수는 있지만이 말을하는 것만 큼 쉽지는 않습니다.
Mike Pennington

"중요하지 않습니다. 지금 중요하지 않을 수도 있지만 결국 예상치 못한 사람을 물게 될 것입니다.
generalnetworkerror
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.