192.168.1.x 더 악용 될 수 있습니까?


24

우리의 IT 서비스 회사는 내부적으로 IP 범위 10.10.150.1 – 10.10.150.254를 사용하도록 네트워크 재구성을 제안하고 있으며 제조업체 기본값 인 192.168.1.x를 사용하여 현재 IP 체계를 "악용하기 쉽게"만들고 있습니다.

이것이 사실입니까? 내부 IP 체계를 알거나 알지 못하면 어떻게 네트워크를 더 악용 할 수 있습니까? 모든 내부 시스템은 SonicWall NAT 및 방화벽 라우터 뒤에 있습니다.


serverfault.com/questions/33810/… 이 질문을 추가 할 것이라고 생각했습니다 .이 경로를 사용하면 발생할 수있는 몇 가지 문제에 대한 개요입니다.
Joshua Nurczyk 2016 년

23
IT 서비스 회사에 NDA가 없으면 이름을 정하고 부끄러워 할 수 있습니까? 그러면 여기에있는 모든 사람들은 단서가 부족하고 아무것도 달성 할 수없는 청구 가능한 작업을 만들고자하는 욕구 때문에 피할 수 있습니다
goo

그들을 "똑똑하지"그들을
해고

답변:


55

192.168.xy는 개인 네트워크에보다 일반적으로 사용되는 네트워크 주소이지만 내부 주소를 사용하려면 나쁜 소년이 이미 네트워크 내부에 있어야하기 때문에 이것은 매우 얇은 "보안에 의한 보안"계층을 추가합니다. "비표준"주소 체계에 의해 가장 어리석은 공격 도구 만이 바보가 될 것입니다.

이를 구현하는 데 거의 비용이 들지 않으며 대가로 거의 아무것도 제공하지 않습니다.


7
"아무것도 아무것도 제공하지 않는다"는 +1 나는 그러한 변화가 가치보다 a $ $에 더 고통스럽지 않을지 의문을 가지고 있지만 정말로 당신이 정말로 걱정한다면 ... 계속해서 비표준 IP 범위를 사용하십시오. 기본 라우터 비밀번호와 포트를 변경하십시오. 그렇지 않으면 당황 스럽기 때문입니다. grin
KPWINC 2016 년

23
네트워크의 크기에 따라 비용이 아무것도 아닌 것보다 크다고 주장합니다. 컨설턴트 국수를 실제로 구우려면 예측 가능성이 정보 보안의 기초라고 믿으며이 변경을 구현하면 많은 액세스 제어 목록 및 기타 기술 보안 제어를 변경해야하므로 네트워크의 보안 성이 떨어질 것입니다 .
dr.pooter 2016 년

1
나는 이것에 대해 dr.pooter에 동의합니다. 이는 실질적인 이점이 거의없는 인프라의 매우 큰 변화입니다. 중간 규모 이상의 환경에서는 물류 (및 위험)가 궤양을 유발합니다.
Scott Pack

1
또 다른 계약. 정적 IP 주소가 필요하지 않은 완전 DHCP 네트워크에서는 "비용이 들지 않습니다"(일반적으로 네트워크에 서버가 없음). 그렇지 않으면 두통과 많은 시간이 걸립니다.
Joshua Nurczyk 2016 년

1
+1 동의 함. 나는 모호함에 의해 보안 목적으로 만 무언가를 구현하기 위해 오랫동안 노력하는 사람에 대해 조심할 것입니다.
squillman 2016 년

30

나에게 청구 가능한 바쁜 일처럼 들린다.

많은 소비자 가전 제품이 192.168.xx 주소 공간을 사용한다는 사실 외에도 (다른 것과 같이 악용 될 수 있음) 회사 네트워크의 보안 환경이 실제로 바뀌는 것은 아닙니다. 내부의 물건이 잠겨 있거나 잠겨 있지 않습니다.

컴퓨터 / 장치를 최신 소프트웨어 / 펌웨어에 유지하고 네트워크 보안을위한 모범 사례를 따르십시오.


13
"청구 할 수있는 바쁘다"관찰에 +1. 누군가는 1 년 동안 임대료를 지불해야하며 고객의 제안에 따라 창의성을 발휘해야합니다. =)
Wesley

+1 네, Nonapeptide의 말
squillman

3
+1-아마도 다음 도난 경보 회사는 건물 외부를 위장 색상으로 위장하여 도난을 피할 것을 제안합니다! 부조리를 통해 보안 ...
에반 앤더슨

10

IT 회사에서 청구 가능한 작업을 원하는 것 같습니다.

192.168.0.x 또는 192.168.1.x 서브넷에서 멀리 떨어져 있다고 생각할 수있는 합법적 인 이유는 VPN 클라이언트와 서브넷이 겹칠 가능성이 있기 때문입니다. 이것은 해결하기가 불가능하지만 VPN 설정 및 진단 문제를 설정하는 데 약간의 복잡성을 추가합니다.


1
그렇기 때문에 사용자가 VPN을 사용하는 사무실의 경우 보통 10.117.1.0/24와 같은 이상한 네트워크를 선택하는 유일한 이유입니다.
kashani 2016 년

@kashani 그것은 현명한 연습입니다. 따라서 IPv6에서 개인 주소를 사용하려면 RFC 4193 에서 40 개의 임의 비트를 접두사에 넣도록 지시해야 합니다.
kasperd

9

192.168.xx 주소 지정을 사용하지 않는 한 가지 큰 장점은 사용자의 홈 네트워크와 겹치지 않도록하는 것입니다. VPN을 설정할 때 네트워크가 서로 다른 경우 훨씬 예측 가능합니다.


2
+1 : 변경해야하는 두 가지 이유 중 하나입니다 (다른 하나는 서브넷에 더 많은 주소가 필요함).
Richard


7

(스 니프 ​​... 스 니프) 나는 냄새가 ... 뭔가. IT 회사의 방향에서 오는 것 같습니다. 헛소리 같은 냄새가나요

스위칭 서브넷은 최상의 보호 기능을 제공합니다. 나머지는 보장되지 않습니다 ...

하드 코딩 된 바이러스의 시대는 오래 전부터 악성 코드가 감염된 컴퓨터의 서브넷을보고 검색을 시작하기에 "스마트"한 것으로 나타났습니다.


figleaf의 경우 +1
msanford

나는 원래 "복사품"이라고 말할 것이지만, 어쨌든 그것은 필요 이상으로 더 견고하게 들렸다.
Avery Payne

6

나는 그것이 더 안전하지 않다고 말할 것입니다. 그들이 라우터에 침입하면 어쨌든 내부 범위를 보여줍니다.


3

다른 사람이 말했듯이 192.168.1.x에서 변경해야 할 유일한 이유는 클라이언트 측의 홈 라우터에서 VPN을 사용하는 것입니다. 본인과 클라이언트 컴퓨터가 VPN을 수행하기 때문에 관리하는 모든 네트워크에 다른 서브넷이있는 이유입니다.


2

내 생각에 일부 드라이브 바이 라우터 익스플로잇 스크립트는 표준 홈 라우터 주소를 찾기 위해 하드 코딩되어 있습니다. 따라서 스크립트의 작동 방식에 따라 게이트웨이 주소에 액세스 할 수 있기 때문에 모호하지 않은 것을 제외하고는 "모호함을 통한 보안"입니다.


2

실제로, 그것은 도시의 전설 일뿐입니다.

어쨌든 그들의 추론은 다음과 같습니다. 192.168.x.0 / 24 범위가 더 일반적으로 사용된다고 가정하십시오. 그런 다음, 아마도 다음 가정은 PC 중 하나에 활성 컴퓨터의 192.168.x.0 / 24 범위를 스캔하는 악성 소프트웨어가있을 것이라는 가정입니다. 네트워크 검색에 일부 Windows 기본 제공 메커니즘을 사용한다는 사실을 무시하십시오.

다시 한번-그것은화물 문화처럼 들립니다.


2

그들이 시도되는 최초 옵션을 그대로 제조업체는 기본적으로 항상 더 많은 악용,하지만 10 범위도이다 매우 잘 알려진 개인 범위 및 - 192.168이 작업을하지 않는 경우 - 시도 다음 하나가 될 것입니다. 나는 그들에게 "불"이라고 부를 것이다.


2

두 범위 모두 "비공개"주소이며 동일하게 잘 알려져 있습니다. 다른 사람이 귀하의 IT를 돌 보도록하십시오.

내부적으로 사용하는 주소 범위를 아는 것은 절대 이점이 없습니다. 누군가 내부 네트워크에 액세스하면 사용중인 주소를 볼 수 있습니다. 그 시점까지는 그것은 레벨 경기장입니다.


1

나는 네트워크 사람이 아니지만 ... 리눅스 사람으로서, 그것이 어떻게 다른지 알 수 없습니다. 하나의 내부 클래스 C를 다른 클래스 C로 바꾸는 것은 실제로 아무것도하지 않습니다. 네트워크를 사용하는 경우 IP 주소에 관계없이 동일한 액세스 권한을 얻을 수 있습니다.

그들이 무엇을하고 있는지 모르는 사람들의 관점에서 기본적으로 192.168.0 / 32로 설정되는 자체 무선 라우터를 가져 오는 것과는 약간의 차이가있을 수 있습니다. 그러나 실제로는 더 이상 안전하지 않습니다.


1

오늘날의 많은 위협 요소는 맬웨어를 실행하는 부주의 한 사용자를 통해 내부에서 발생합니다. 많은 보호 기능을 제공하지는 않지만 도시의 전설로 완전히 무시하지는 않습니다.

보호 기능이 모호성에만 의존하는 경우 (예 : "랜덤"폴더 이름을 가진 공용 웹 서버에 비밀 문서를 배치하는 것과 같이) 모호성을 통해 보안이라고합니다.

일부 스크립트는 192.168.1.x 범위를 스캔하고 자체 사본을 배포하도록 하드 코딩 될 수 있습니다. 또 다른 실용적인 이유는 홈 라우터가 일반적으로 해당 범위로 구성되어 있기 때문에 홈 컴퓨터에서 VPN을 설정할 때 충돌하여 때로는 사고를 일으킬 수 있기 때문입니다.


1

공격자가 내부 네트워크를 손상시킬 수있는 위치에 있다면 IP 범위를 알고 있어야합니다.

사용하는 유일한 보호 기능이 IP 주소 범위 인 경우 구성되지 않은 시스템을 스위치에 꽂고 ARP 요청만으로 몇 초 안에 네트워크 구성을 배울 수 있습니다. 그 뒤에 숨겨진 유일한 이유가 "보안"이라면 이것은 본질적으로 바쁘다.

모든 고통, 이익 없음.


0

한 주소 지정 클래스를 다른 주소 지정 클래스를 사용하면 이미 구현 된 것 이상의 보안이 제공되지 않습니다.

민영화 된 IP 주소 클래스에는 세 가지 주요 유형이 있습니다.

클래스 A : 10.0.0.0-10.255.255.255 클래스 B : 172.16.0.0-172.31.255.255 클래스 C : 192.168.0.0-192.168.255.255


3
한숨. 클래스 기반 라우팅은 수년간 관련이 없었습니다. 실제로 의미하는 것은 사용할 세 개의 프라이빗 서브넷이 있다는 것입니다.
마크 헨더슨
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.