¿Qué impide que alguien configure su red con direcciones IP que no posee?

22

Aquí está el escenario. Estaba imaginando una universidad que compró una variedad de direcciones IP. Creo que todavía estarían dentro de un ISP (¿verdad?), Pero tendrían libertad para configurar las cosas como quisieran.

¿Qué les impide atribuir sus enrutadores y hosts que ya usan direcciones IP?

¿Y qué pasaría si de hecho alguien hiciera esto?

router ip network internet ip-address Tiago Oliveira
fuente
66
Las universidades fueron los ISP originales. Internet fue un experimento colaborativo académico / gubernamental. De hecho, la Internet pública es simplemente un grupo de ISP que se encuentran con otros ISP de su elección. El gobierno, en busca de una manera de mantener las comunicaciones en caso de un desastre (por ejemplo, guerra nuclear, entre otras cosas), financió las universidades y la compañía de telecomunicaciones (en ese momento AT&T, no la que conoce hoy, que era la única Telco real) para idear un método para mantener las comunicaciones cuando se destruyó una ruta, y resultó en el cambio de paquetes e Internet.
Ron Maupin
1
En el Reino Unido, por ejemplo, JISC supervisa las asignaciones de red para universidades.
Deja de dañar a Mónica el
Nada. Pero, por supuesto, esto no es un problema con IPv6.
Restablece a Mónica - M. Schröder
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

32

Lo más probable es que si son una gran universidad, sean su propio ISP, y usen BGP para conectar su red a Internet a través de varias redes ascendentes.

Nada les impide usar direcciones IP que no deberían usar, y funcionaría en su red local. Sin embargo, no funcionará en Internet. Sus redes ascendentes que les proporcionan conectividad deben tener filtros que solo permitan a la universidad anunciar las direcciones IP asignadas a ellos. Si las aguas arriba directas no los filtraran, las aguas arriba de las aguas arriba lo harán. Y si la universidad usara las direcciones IP, que están en uso por otra red, esa otra red quedaría inalcanzable desde la red de la universidad.

Además, hay una serie de proyectos (por ejemplo, RIPE RIS y BGPmon ) que monitorean las tablas de enrutamiento y alertan sobre cualquier anuncio de IP "ilegal" ( secuestros de BGP y anomalías de enrutamiento).

Teun Vink
fuente
11
Lamentablemente, incluso hoy debería haber todavía no significa tener
Josef
77
@Josef Para ser justos, BGP se creó en un momento de "confianza implícita": cada propietario de un nodo de Internet conocía a todos los demás propietarios de nodos de Internet, por lo que sabían quién era el propietario y las consecuencias sociales por el secuestro. BGP nunca fue realmente diseñado para ser "seguro", solo fue diseñado para funcionar.
Der Kommissar
2
Los ISP generalmente han mejorado en el filtrado de BGP, porque ha habido algunos cortes importantes bien publicitados debido a que alguien (intencionalmente o accidentalmente) anuncia una ruta falsa.
Barmar
1
Yo añadiría que probablemente sus vecinos los dejarían en ridículo.
PEdroArthur
1
Si usan la IP de otra persona internamente, funcionará para llegar a ese sitio, pero significará que todo lo alojado en el propietario real de esa IP será inalcanzable.
Loren Pechtel
12

¿Qué les impide atribuir sus enrutadores y hosts que ya usan direcciones IP?

Nada. A lo largo de los años, he visto a ambas organizaciones de todos los tamaños, tanto públicas como privadas, hacer esto, incluida una empresa de "marca" reconocida mundialmente. De hecho, he visto esto más a menudo en entornos empresariales que en entornos universitarios (en gran parte debido al hecho de que más universidades estuvieron involucradas en Internet anteriormente y ayudaron a definir los estándares y las mejores prácticas utilizadas hoy en día).

¿Y qué pasaría si de hecho alguien hiciera esto?

Hoy, probablemente nada más que la organización no puede llegar a partes de Internet que se superponen. En el pasado, este tipo de cosas ha causado serios problemas, incluyendo "romper Internet" para algunos o muchos usuarios (en un caso, un solo ISP propagó accidentalmente una ruta predeterminada a Internet sobrecargando su propia red tanto como el tráfico de Internet trató de enrutarlos).

Los incidentes pasados ​​como los que usted propone se convirtieron en oportunidades de aprendizaje y dieron como resultado mejores prácticas que incluyen protecciones contra este tipo de configuración incorrecta. Hoy en día, los proveedores implementan BCP38 / RFC2827 para filtrar el tráfico a las organizaciones conectadas solo a la dirección IP que deberían anunciar.

Algunos proveedores también implementan el filtrado de bogones que, cuando se mantiene adecuadamente, ayuda a evitar el tráfico del espacio IP del que no debería proceder un tráfico válido (es decir, rangos de direcciones privadas, espacio IP no asignado, etc.). Si bien la lista de bogones de IPv4 es mucho más pequeña hoy que en el pasado (es decir, la mayoría de las direcciones de IPv4 ahora están asignadas), la lista de bogones de IPv6 puede ser bastante útil, especialmente en grandes proveedores para limitar el alcance de la ocupación de IP (es decir, usar IP sin asignar) espacio).

YLearn
fuente
8

Nada los detendrá utilizando las direcciones en sus propias máquinas.

Lo que sucede si intentan publicitarlos en Internet depende de cuán descuidados sean sus proveedores. Si sus proveedores siguen las mejores prácticas, habrá filtros y los anuncios no superarán los límites del secuestrador.

OTOH, si sus proveedores y sus proveedores son descuidados, entonces un anuncio falso puede ir mucho más lejos y provocar una interrupción significativa para los legítimos propietarios del espacio IP.

Es casi seguro que tales acontecimientos se notarán y probablemente habrá algunas discusiones acaloradas y algunos filtros adicionales agregados.

Peter Green
fuente
6

Supongamos que tengo dos máquinas. Asigno la dirección 1.2.3.4 a una y 1.2.3.5 a la otra. No soy dueño de estas direcciones.

Mientras no intente acceder a Internet, estas dos máquinas pueden comunicarse entre sí sin ningún problema.

Ahora me conecto a internet. Las otras respuestas hablan de filtros que bloquean cosas, pero ignoremos eso por un momento.

Mi máquina 1.2.3.4 intenta conectarse a alguna dirección legítima, como 12.34.56.78. Suponga que esta dirección existe y está controlada por su propietario.

Entonces, mi máquina envía un paquete:

Desde 1.2.3.4, Hasta: 12.34.56.78, Contenido: ¿Quieres ser amigos? (Traducido al humano)

Los enrutadores miran la parte Para: y la entregan correctamente a 12.34.56.78. Esta máquina no sospecha nada y cumple una respuesta.

De: 12.34.56.78, Para: 1.2.3.4, Contenido: ¡Claro, seamos amigos!

Ahora viene al problema. Esta respuesta nunca te será entregada. En cambio, se entregará al 1.2.3.4 real , que se confundirá mucho.

Entonces, si usa una dirección incorrecta, puede hablar con Internet, pero Internet nunca le responderá.

Stig Hemmer
fuente
44
"Internet nunca le responderá" si anuncia las direcciones falsas a través de BGP y nadie bloquea sus anuncios, entonces grandes partes de Internet pueden responderle, al menos hasta que alguien se dé cuenta de lo que está sucediendo.
Peter Green
2
Cualquier ISP decente implementará BCP38, por lo que su intento de "hablar con Internet" terminará en su filtro antifalsificación.
Teun Vink
Lo que dexcribe no es un intento que no funciona para conectarse a Internet, sino un posible ataque de DOS en el 1.2.3.4 real (y quizás también 12.34.56.78). Es por eso que los filtros mencionados por TeunVink están (con suerte) en su lugar
Hagen von Eitzen
@HagenvonEitzen: Son filtros completamente diferentes. Teun está hablando de bloquear anuncios de ruta validando protocolos de intercambio de ruta como BGP. Para evitar DDoS de suplantación de origen, necesita el filtrado de ruta inversa en los paquetes que no tienen nada que ver con el intercambio de rutas.
Ben Voigt
2

Internamente oscurecería grandes muestras de Internet

Seguro. Digamos que hacen lo común al usar direcciones IP privadas internamente en su red, como 10.xxx .. Conoces la traducción de direcciones de red en el borde de su red, al igual que tu red doméstica.

Excepto que decidieron que 10.xxx es demasiado restrictivo para ellos, y comienzan a asignar direcciones IP públicas internamente. Funcionará, al principio. Pero entonces los problemas comenzarán a aparecer.

Es cuestión de tiempo antes de que alguien use 172.217.15.68 para una máquina de laboratorio. Es una de las direcciones IP que DNS resuelve para www.google.com. Ahora, a veces, cuando alguien dentro de la universidad intenta hacer una búsqueda en Google, su navegador web va a esa máquina de laboratorio . Debido a que los enrutadores internos no tendrían la capacidad de concebir que hay dos 172.217.15.68, uno interno y otro externo; lo harían simplemente encaminar los paquetes a la interna.

Los bloques de IP asignados internamente no se pueden enrutar externamente

Pero es peor que eso. Asignaron un bloque de red completo, por lo que 172.217.xx / 16 se enrutará a ese laboratorio. Probablemente no golpearía cada IP de Google, pero muchas búsquedas fallarían. Para equipos más pequeños como Craigslist donde todas sus direcciones están en el mismo bloque de red, si la universidad asigna ese bloque de red internamente, todo el sitio quedaría bloqueado en frío.

Esto no afectará a nadie fuera de la red interna de la universidad. Los proveedores externos no aceptarán la reasignación de la universidad del espacio de IP de Google. El único tráfico dirigido a la universidad serán las direcciones IP públicas que posee la universidad.

Simplemente use IPv6 en su lugar

Si te registras en Comcast, te darán un / 64 propio. Si preguntas amablemente, he oído que te entregarán un / 48. Pero supongamos que solo obtiene un / 64, y luego, haga exactamente la trama de RevOlution y cree nanites autorreplicantes que consuman electricidad, en la misma cantidad que se discutió en el programa. ¿Tiene suficientes direcciones IPv6 para que cada nanito tenga la suya propia?

Sí. Y suficientes repuestos para hacer esto en 2 millones de tierras paralelas.

Entonces, si está realmente preocupado por quedarse sin direcciones IP, ese es el camino a seguir.

Harper - Restablece a Monica
fuente
2

Como han dicho muchos otros, nada impide que nadie lo haga, pero en general, esto no tendrá ningún efecto fuera de la organización e incluso causará problemas internos.

Ahora, si usted es un ISP y comienza a decirles a los demás que usted es el que debe usar para enrutar estas IP (utilizando un protocolo de enrutamiento como BGP), esas IP serán "parcialmente" suyas, por un tiempo. En parte, porque cuando se note el problema, se tomarán medidas para detenerlo. "Por un tiempo", bueno, hasta que se tomen medidas.

Los incidentes con BGP han ocurrido en el pasado, causando que el tráfico se enrute a lugares equivocados. Aquí hay un enlace a un incidente reciente: https://hub.packtpub.com/mondays-google-outage-was-a-bgp-route-leak-traffic-redirected-through-nigeria-china-and-russia/ Puede busque "fuga de ruta BGP" para obtener más información.

Internet funciona mucho en la confianza. Las cosas están cambiando lentamente, pero en muchos casos, los ISP simplemente confían en otros ISP.

user1532080
fuente