Стоит ли опасаться посторонних ip-адресов в локальной сети?

Question

[mvs13]

Есть локальная сеть организации на 120 компьютеров. В сети используется адресация 10.0.0.0/20. Однажды было обнаружено наличие в сети узла с адресом 192.168.0.169. ping устройства стабильный, но не характерный для локальной сети, более 30 мс. arp не дал MAC-адреса этого устройства. trace показал, что устройство находиться вне нашей сети, оно за айпишником чужого провайдера. Шлюз pfSense, на внешнем интерфейсе которого заблокированы локальные сети и bogon-сети. Теряюсь в догадках, что это за устройство и каким образом оно присутствует в нашей локальной сети?
Можно ли определить, каким образом это устройство получило доступ в нашу локальную сеть?
Можно ли как-то в будущем избежать появления такого рода узлов в локальной сети?

Comments

[Moskus]

Угу, ищите не ПК или ноут, а железку. Камера, принтер, wifi was, ещё что.

[Алексей С.]

путаетесь в показаниях, пишете что в вашей сети, а далее по тексту что за шлюзам , из чего делаем вывод, что айпишник находиться в сети провайдера .. чем он вам мешает ? Что значит оно присутствует в вашей сети ?

[Lynn «Кофеман»]

А 8.8.8.8 тоже у вас в сети?

[mvs13]

Алексей С., физически, он вне моей сети. Но обнаружен он, этот узел, был следующим образом. К одному из компьютеров в моей локальной сети подключен коммутатор лингафонного класса. На компьютере два сетевых интерфейса, один для сети 10.0.0.0/20, другой - для 192.168.0.0/24. Устройства этого класса взаимодействуют в пределах сети 192.168.0.0/24.
А мешает он мне следующим образом. Если интерфейс для сети 10.0.0.0/20 выключить, то 192.168.0.169 (непонятный внешний узел) перестает быть доступным и устройства лингафонного класса нормально взаимодействую между собой. Если не выключать - лингафонный класс не работает.

[mvs13]

Алексей Тен, :-), все мы одной сети.

[John_Nash]

приоритет при выборе маршрута всегда отдается сети меньшего диапазона. Так что ваш 192.168.0.169 не при чем. Вы туда не попадете, когда есть 192.168.0.0/24

[Алексей С.]

mvs13, Тут как раз проблема выбора маршрутов: Как вариант на всех компах прописать статический маршрут на подсеть 192.168.0.0/24 или поставить свой маршрутизатор который будет для всех по умолчанию, а на нём уже разруливать куда кидать пакеты в зависимости от подсети (то есть 192.168.0.0 на машину с двумя интерфесами, всё остальное на шлюз провайдера)

Answer 1

[#]

Стоит ли опасаться посторонних ip-адресов в локальной сети?

если в сети есть секреты/ценности - однозначно ДА, стоит опасаться

тем более интранетовских адресов, трейс к которым выходит за пределы локалки

что стоит сделать:
- попытаться расследовать (может кто то из сотрудников поднимает VPN домой?)
- попробовать заблокировать адрес/маршрутизацию (но надо быть готовым, к тому что отвалится что то нужное, типа внешней вебкамеры охраны? )).. зато [возможно] будете точно знать что это ;))

Comments

[stictt]

Про вебкамеру вообще всплакнул. Как то следил за локалкой через роутер, вижу левый адрес, кто это. Не понятно. Блокнул мак. Оказался телевизор

[#]

stictt, ну типа того )))

Answer 2

[Sergey Ryzhkin]

Вот недавно была тема: Блок адресов в сети. Может вам попробовать реализовать нечто подобное.

Comments

[mvs13]

Имеется в виду вариант с выдачей статических адресов через RADIUS?
Получается, что в моей локальной сети есть DHCP сервер, который выдал этому устройству адрес из сети 192.168.0.0?

[fdroid]

mvs13, более того, у вас же как-то 192.168.0.0/24 маршрутизируется, чего быть не должно, если вам точно известна адресация сети, какие есть подсети и т.д. Про DHCP - не факт, может быть и статический. А вообще, я бы напрягся в вашем случае.

Answer 3

[Виктор]

Поясните пожалуйста

Однажды было обнаружено наличие в сети узла с адресом 192.168.0.169

Как было обнаружено?

trace показал, что устройство находиться вне нашей сети

Трассировка проходила через ваш маршрутизатор?

Шлюз pfSense, на внешнем интерфейсе которого заблокированы локальные сети и bogon-сети

Что это означает? Заблокированы как? Доступ к вам заблокирован или от вас?

Я вообще не очень понимаю, в чём проблема, если этот адрес вне вашей сети.
Если он внутри, что на это указывает?
Если вы не используете Вланы, то потому мак и не видите, что данный узел за вашим маршрутизатором.

Мало ли, что у провайдера там и как работает.

Comments

[mvs13]

Было обнаружено так. Есть компьютер с двумя сетевыми интерфейсами. Один интерфейс для локалки 10.0.0.0/20, другой - для устройств лигафонного класса 192.168.0.0/24. Перестали работать устройства лингафонного класса, не подключаются к компьютеру. В сети лингафонного класса в результате сканирования ip-scan был обнаружен "левый" адрес. Ситуация с подключениям устройств решается путём отключения интерфейса локалки на этом компьютере.

Адреса локальных сетей заблокированы на внешнем интерфейсе правилами фаервола.

Проблема в том, что пока в нашей локалке виден "левый" адрес, устройства лингафонного класса не функционируют.

[Виктор]

mvs13, Скажите, а при сканировании сети 192.168.0.0/24 у вас для всех легитимных устройств были показаны маки? Только для 169 не было?

Адреса локальных сетей заблокированы на внешнем интерфейсе правилами фаервола.

Адреса не блокируются, скорее всего, у вас на Сенсе заблокирован доступ из WAN сети с этих адресов, так как ломиться они к вам оттуда не должны.

Есть компьютер с двумя сетевыми интерфейсами.

Это компьютер с Сенсом?

Я правильно понимаю вашу топологию, в сенс воткнуты три сети:
1) Локалка 10.10.0.0/20
2) Сеть лингафонного класса (слово мне не знакомо, гугл поправил. Я так понял, это мультимедиа-оборудование).
3) WAN

Если трассировка адреса вашей сети 192.168.0.0/24 уводит вас на шлюз и далее в сеть провайдера, маршрутизация у вас настроена неправильно, так как это сеть у вас внутренняя, фактически.

Если же у вас не звезда, а в локалке просто стоит компьютер, который одной сетёвкой смотрит в локалку, второй в сеть 192.168, вам нужно проверить на нём таблицу маршрутизации.
Маршрут к сети 192.168.0.0 должен идти через интерфейс этого компьютера, смотрящего в эту сеть и иметь наименьшую метрику, например 1.