¿Riesgos de usar direcciones IP no privadas internamente?

20

Mi empresa ha recibido una gran máquina industrial con muchos dispositivos en red. Lamentablemente, el ingeniero a cargo ha utilizado un rango de direcciones IP públicas en la máquina. Estoy en europa El rango de direcciones elegido pertenece a una empresa estadounidense. Digamos que es 143.166.0.0 (que en realidad pertenece a Dell).

Supongamos que no conecto la máquina a la LAN de nuestra empresa (por ahora) pero sí conecto mi computadora portátil para programar un dispositivo, digamos 143.166.0.1. Digamos también que el adaptador de red inalámbrico de mi computadora portátil está conectado a la LAN de la empresa y, por lo tanto, a Internet. Ahora tengo dos rutas posibles a dos dispositivos que comparten una dirección. El local que quiero y la dirección de Dell.

Mi pregunta es: "¿Qué tan preocupado debería estar?" ¿Qué debería y pasaría en este caso? Supongo que la máquina local respondería primero y que podría salirse con la suya, pero que eventualmente me morderían. Por cierto, también he visto direcciones IP públicas en otras máquinas. Parece que los ingenieros no entienden el direccionamiento privado o no esperan que su máquina esté conectada al resto del mundo.

¿Alguna idea / comentario? (que no implica violencia para el ingeniero de máquinas)?

Epílogo

Encontramos un problema interesante que nos ha obligado a cambiar las direcciones IP a privadas.

  • Uno de los dispositivos en la máquina se programa a través de Internet Explorer utilizando un componente ActiveX. Este dispositivo intentará enviar datos al 'oyente' de ActiveX (en lugar del modo habitual del navegador de solicitar datos de un servidor remoto).
  • Nuestra configuración de Active Directory descarga políticas de seguridad a nuestras computadoras al iniciar sesión. En la política se incluye la lista de sitios de confianza. Éstos incluyen:
    • Direcciones de empresa aprobadas.
    • Diversas direcciones externas como nuestro banco.
    • Direcciones privadas 192.168.0.0/16, 172.16.0.0/20 y 10.0.0.0/24.
    • Todo lo demás está bloqueado.
  • Debido a la política de seguridad, el componente ActiveX nunca recibió ningún dato ya que la política de seguridad bloquea el tráfico entrante.

Esto me ha obligado a que el proveedor cambie las direcciones a 172.16.0.0. Dormiré más fácil.

Gracias por el interés.

Transistor
fuente

Respuestas:

21

Respuesta corta: Duplicar direcciones públicas asignadas es una mala idea.

Respuesta un poco más larga: dejando de lado los problemas de enrutamiento por el momento, no es seguro asumir que nunca necesitará llegar a esta máquina desde otro lugar que no sea un cable conectado directamente, o que las asignaciones de direcciones públicas o privadas son estáticas y nunca cambiarán .

Los problemas de acceso remoto son obvios: Internet global cree que 143.166 / 16 está en un lugar y usted quiere que esté en otro. Los enrutadores no irán a su máquina.

Y la propiedad podría cambiar. Incluso si esta dirección no fuera asignada a Dell, podría asignárseles en el futuro. Dell tiene esta dirección hoy, pero alguien más podría tener mañana, con una ruta diferente. ¿Quién sabe? Su organización podría incluso comprar ese bloque de direcciones, con aún más aventuras de enrutamiento.

En pocas palabras: no asuma que las direcciones IP duplicadas se pueden cerrar de forma segura para siempre.

En cuanto al enrutamiento, su interfaz con cable preferiría la dirección local a la de Dell. Su interfaz con cable enviaría una solicitud ARP para esa dirección y la obtendría directamente de la máquina industrial, no se requiere puerta de enlace. Posteriormente, los paquetes destinados a esa dirección usarían la dirección MAC de destino de la máquina industrial.

Eso funcionará bien, ya que solo usa un cable para acceder, y siempre que nunca necesite llegar a esta máquina desde otro lugar, y siempre que la tabla de enrutamiento global permanezca estática.

Eso es un montón de ifs. Es mejor evitar el problema utilizando una dirección pública única o algo fuera del grupo de direcciones privadas.

usuario8162
fuente
Ustedes tienen razón, lo siento, no entendí que era el espacio de otra persona. Gracias.
Pseudocyber
12

El único problema será la incapacidad de hablar con las máquinas reales (internet) con esas direcciones. Por supuesto, puede poner un firewall ("caja nat") entre su red y esto para que parezca direcciones privadas para su red.

Este tipo de cosas ha aparecido en todo el lugar durante muchos años debido a que las personas son flojas y usan direcciones "no asignadas" para sus propios fines; ahora que están asignados, presenta un pequeño problema.

[Editar: para el registro, nunca volví a numerar mi red doméstica. pero es probable que nunca necesite hablar con las personas que ahora tienen ese espacio de direcciones. 15 años y contando ...]

Ricky Beam
fuente
55
+1, agregaría que el tamaño del problema depende de cuán lejos permita que esas direcciones entren en su IGP y cuántas de esas direcciones se filtren al resto de su empresa. Lamentablemente, alguien agregó grandes bloques de bloques Clase A de AT&T en todo nuestro IGP antes de que yo llegara aquí.
Mike Pennington
8

Mi pregunta es: "¿Qué tan preocupado debería estar?" ¿Qué debería y pasaría en este caso? Supongo que la máquina local respondería primero y que podría salirse con la suya, pero que eventualmente me morderían.

Como nota al margen, no se trata de quién responde primero. Si le da a su computadora una dirección en la misma subred, el tráfico irá directamente a la máquina, sin enrutadores involucrados.

Incluso si usaría el enrutamiento, ingresando una ruta a 143.166.0.0/16 en algunos enrutadores internos de su red, preferirán esta ruta sobre su ruta (¿predeterminada?) A Internet. Esto sucede porque se prefiere la "coincidencia de prefijo más larga", es decir. Se elige la ruta más específica.

Correcto sobre el resultado neto, la parte 143.166.0.0/16 de Internet será inalcanzable para usted o su red si instala la ruta en sus enrutadores internos. / 16 parece un poco grande para este problema, cuanto más pequeña es la subred a la que se dirige, menor es la posibilidad de ser mordido.

Gerben
fuente
0

A continuación, está mi respuesta editada , que originalmente no entendía que no era espacio IP "propio", sino el espacio de otra persona.

Mientras sea ​​tu espacio, no importa. Una dirección IP es una dirección IP. Sus aplicaciones no saben qué es privado y qué es público. Si tiene espacio, incluso podría tener algunas subredes que son "internas" y algunas que son accesibles "externamente", controlable con los controles de enrutamiento, firewalls, etc.

Todo el espacio público en el interior significa que no tiene que preocuparse por NAT para entrar o salir de su red.

Si NO es su propio espacio IP, sino el de otra persona, técnicamente puede funcionar. Sin embargo, nunca podrá llegar a su espacio sin mucho esfuerzo y configuración adicionales, como túneles, NAT o NAT doble, o enrutamiento más específico. Sería mejor sugerir volver a direccionar su red, por escrito, y detallar cómo hacerlo, cómo se puede administrar, etc. Consíguelo por escrito, luego, si alguna vez hay problemas, puede retirar su correo electrónico "Te lo dije ".

Los votos negativos a continuación fueron de mi respuesta original, en la que leí mal la pregunta.

Gracias a todos.

Pseudocyber
fuente
Lo siento, pero tengo que desestimar esto, aunque puedes usar el espacio de direcciones de otra persona, no es tan fácil como dices.
Mike Pennington
Abajo-voto de mí por "no importa No podría importar ahora, pero con el tiempo va a morder a alguien cuando menos se espera..
generalnetworkerror