Использование ip диапазона вне разрешенных для локальной сети?

Question

[Zhasik]

Добрый день,

В данный момент занимаюсь техническим аудитом в компании. Внутренняя сеть делится на несколько диапазонов, одна из которых закрытая без доступа в интернет. Так у этой закрытой сети диапазон 192.100.xxx.yyy, данный диапазон не является разрешенным для использования в локальной сети.
Какие проблемы могут возникнуть от использования данной сети? Что если на пограничный маршрутизатор попадет пакет от ip адреса из интернета начинающимся с 192.100. и тд. Существует ли возможность пробраться через NAT внутрь сети или в случае получения запроса от ip адреса с общей подсети то ответ будет направлен напрямую. Можете пожалуйста помочь с оценкой рисков связанных с безопасностью и эксплуатацией таких сетей?

Answer 1

[res2001]

Максимум чем грозит использование белых адресов внутри сети - это тем, что компы при обращении к ресурсам в интернете с адресами из используемого диапазона будут попадать на свои локальные ресурсы.

В случае попадания пакета с подобным адресом источника в интернет он там и умрет без ответа. Скорее всего его прибьет свой же провайдер. Если же вдруг не прибьет и пакет дойдет до адресата, то ответ будет отправлен реальному владельцу этого адреса, а не вам.

Скорее всего, подобная адресация используется для предотвращения выхода в интернет даже если вдруг другие механизмы защиты не сработают.

Comments

[Zhasik]

Если я Вас правильно понял, то для закрытых сетей локальной сети - это скорее последний уровень защиты? И единственное что усложняется это работа сетевого инженера.

[res2001]

Zhasik, С точки зрения сетевого инженера ничего не меняется.
Я бы не стал воспринимать это как еще один уровень защиты. Считайте это приятным побочным эффектом. Не стоит из-за этого делать какие-то ослабления в отношении других методов защиты.

Answer 2

[Keffer]

Зачем тратить время на всякие оценки рисков? Просто взять и сменить адреса на типовые для локалок. И не мучить себя и других

Comments

[Zhasik]

К сожалению это легче сказать чем сделать. Такая сеть у них развернута в 10 географически распределенных офисах через VPN и плюс еще маршрутизация прописана чуть ли не на каждом узле.
Усугубляет это все то, что система которая крутится в этой сети должна работать круглые сутки 365 дней в год.

[Дмитрий Шицков]

Zhasik, масштабная инфраструктура на статической маршрутизации? Совсем печаль. А как тогда контролируется что эта сеть в интернет не ходит? Да и опытный сетевик без даунтайма мог бы перевести на другую адресацию.

[Zhasik]

Дмитрий Шицков, На пограничных маршрутизаторах запрещен NAT и forward в WAN для подсети 192.100.0.0/16.
Еще проблема в том, что ip-адреса для взаимодействия компонентов информационной системы прописываются на каждом узле. Все это вместе увеличивает стоимость перехода в разы и риск даунтайма.

Дешевле все оставить как есть сейчас. Но охото послушать мнение экспертов для оценки рисков такой сети.

Answer 3

[CityCat4]

Какие проблемы могут возникнуть от использования данной сети?

Теоретически - недоступность ресурсов, размещенных на этих адресах, потому что компьютеры будут обращаться к локальным IP. Практически - вряд ли Вас интересует Кения :)

Что если на пограничный маршрутизатор попадет пакет от ip адреса из интернета начинающимся с 192.100. и тд

У нормально настроенного роутера всегда есть правило - если на внешнем интерфейсе пакет с IP интерфейса внутреннего - прибить сразу же.
Диапазон этот был выбран скорее всего из-за админской лени. Я бы просто поменял на разрешенные по RFC1918

Answer 4

[АртемЪ]

Какие проблемы могут возникнуть от использования данной сети?

Недоступность некоторых ресурсов в глобальной сети.

Что если на пограничный маршрутизатор попадет пакет от ip адреса из интернета начинающимся с 192.100. и тд.

Уничтожит.

Можете пожалуйста помочь с оценкой рисков связанных с безопасностью и эксплуатацией таких сетей?

Подсчитайте экономический ущерб образовавшийся от невозможности получить доступ к некоторым ресурсам сети интернет.

Comments

[athacker]

Уничтожит.

С чего вдруг? Пакет пойдёт в default gateway маршрутизатора.

А уничтожен он будет только в случае, если на шлюзе сети компании явным образом прописано соответствие подсетей и интерфейсов. Но в реальности этим мало кто заморачивается. И тем более это не будет делать оператор, т. к. за клиентским шлюзом могут быть и другие клиенты (если это суб-провайдер), поэтому ACL на подсетях настраивать скорее всего не будут. Иными словами -- с высокой долей вероятности пакет, запущенный из локалки, где выдаются адреса 192.200.0.0, пройдёт до DST IP в интернете, а вот ответ от DST IP уже долетит до реального хоста из сети 192.200.0.0, и в локалку, конечно же, не вернётся.

[АртемЪ]

athacker, Входящий пакет пойдет в default gateway?

[athacker]

АртемЪ, ЛЮБОЙ пакет, попавший на маршрутизатор, и для DST которого нет прямых маршрутов (статических или динамических) будет отправлен маршрутизатором в дефолт. Собственно, так будет делать не только маршрутизатор, но и любой хост, в котором включен ip_forward. Воспрепятствовать этому поведению можно только с помощью файрвола или PBR.

Но чаще всего, как я уже говорил, фильтрацию трафика не настраивают.

[Zhasik]

По поводу недоступности внешних сервисов. Они в принципе не нужны так как эта сеть закрыта и особо охраняется в Компании, у них есть несколько еще сетей со стандартными диапазонами.

Просто хотелось бы послушать мнение по поводу того какие потенциальные проблемы это может вызвать или уязвимости сети.

[АртемЪ]

Zhasik, А какие там могут быть уязвимости? Обычная сеть. Кого там волнует, какая там адресация.

Answer 5

[Дмитрий Шицков]

ответ, отмеченный решением, в целом хорошо описывает риски. Я бы добавил повышенный риск человеческого фактора из-за ручной конфигурации узлов. Если безопасность критична, то необходим регулярный аудит сетевой безопасности, а так же автоматический мониторинг критической конфигурации узлов. Проводить регулярные сканирования каждого узла извне и каждого сегмента сети - изнутри. Обычно проводится раз в квартал. Возможно потребуются кастомные условия для проверки что каждый сегмент изолирован от интернета.