192.168.1.x más explotable?

24

Nuestra firma de servicios de TI está proponiendo una reconfiguración de la red para usar el rango de IP 10.10.150.1 - 10.10.150.254 internamente, ya que establecen que el esquema de IP actual que usa los valores predeterminados del fabricante de 192.168.1.x es "hacer que sea fácil de explotar".

¿Es esto cierto? ¿Cómo saber / no conocer el esquema interno de IP hace que una red sea más explotable? Todos los sistemas internos están detrás de un router SonicWall NAT y firewall.

Michael Glenn
fuente
Pensé que agregaría esta pregunta: serverfault.com/questions/33810/… Parece que esto describe algunos problemas que puede tener si tuviera que seguir esta ruta.
Joshua Nurczyk
23
Si no tiene un NDA con la compañía de servicios de TI, ¿puede nombrarlos y avergonzarlos? Entonces todo el mundo aquí puede evitarlos debido a su falta de idea y el deseo de crear trabajo facturable que no logra nada
Goo
Despídalos

Respuestas:

55

Esto agregará, en el mejor de los casos, una capa muy delgada de "seguridad por oscuridad", ya que 192.168.xy es una dirección de red más utilizada para redes privadas, pero para usar las direcciones internas, los chicos malos ya deben estar dentro de su red. , y solo las herramientas de ataque más estúpidas serán engañadas por el esquema de direcciones "no estándar".

Implementar esto no cuesta casi nada, y no ofrece casi nada a cambio.

Sven
fuente
77
+1 para "no cuesta nada no ofrece casi nada". Me preguntaría si ese cambio podría no ser más doloroso en el a $$ de lo que vale, pero si está REALMENTE preocupado ... continúe y use un rango de IP no estándar. Solo asegúrese de cambiar las contraseñas y puertos predeterminados del enrutador ... porque de lo contrario es simplemente vergonzoso. sonrisa
KPWINC
23
Dependiendo del tamaño de su red, diría que el costo es mucho mayor que nada. Si realmente quiere hornear los fideos de los consultores, dígale que cree que la previsibilidad es una base de la seguridad de la información, e implementar este cambio hará que la red sea menos segura porque requerirá que altere muchas listas de control de acceso y otros controles técnicos de seguridad. .
dr.pooter
1
Estoy de acuerdo con el Dr. Pooter en este caso. Este es un cambio muy grande en su infraestructura, con casi ningún beneficio real. Para un entorno de tamaño medio y superior, la logística (y los riesgos) de esto son invocadores de úlcera.
Scott Pack
1
Otro acuerdo El cambio solo "no cuesta nada" en una red completamente DHCP que no requiere direcciones IP estáticas (generalmente significa que no hay servidores en la red). De lo contrario, cuesta dolores de cabeza y mucho tiempo.
Joshua Nurczyk
1
+1 de acuerdo. Sería cauteloso con cualquiera que haga todo lo posible para implementar algo con el único propósito de seguridad por oscuridad.
Squillman
30

A mí me parece un trabajo ocupado facturable.

Además del hecho de que muchos dispositivos de consumo usan el espacio de direcciones 192.168.xx (que puede explotarse, como cualquier otra cosa), no creo que eso cambie realmente el panorama de seguridad de una red corporativa. Las cosas dentro están bloqueadas, o no lo están.

Mantenga sus máquinas / dispositivos con el software / firmware actual, siga las mejores prácticas para la seguridad de la red y estará en buena forma.

Geoff Fritz
fuente
13
+1 para la observación "trabajo ocupado facturable". Alguien debe pagar su contrato de arrendamiento por el año y ser creativo con las propuestas de sus clientes. =)
Wesley
+1 Sí, lo que dijo
Nonapeptide
3
+1 - ¡Quizás la próxima compañía de alarmas antirrobo le sugiera que intente pintar el exterior del edificio con colores de camuflaje para evitar robos! Seguridad a través del absurdo ...
Evan Anderson
10

Parece que su empresa de TI quiere un trabajo facturable para mí.

La única razón legítima en la que puedo pensar para mantenerme alejado de las subredes 192.168.0.xo 192.168.1.x se debe a la posibilidad de tener subredes superpuestas con clientes vpn. Esto no es imposible de solucionar, pero agrega algunas complicaciones a la configuración de vpn y al diagnóstico de problemas.

3dinfluence
fuente
1
Sí, esta es la única razón por la que generalmente elijo redes extrañas como 10.117.1.0/24 para oficinas que pueden tener usuarios VPNing en ellas.
kashani
@kashani Esa es una práctica sensata. De hecho, es tan sensato que si desea utilizar direcciones privadas en IPv6, incluso en RFC 4193 es obligatorio colocar 40 bits aleatorios en el prefijo.
kasperd
9

Una gran ventaja de no utilizar el direccionamiento 192.168.xx es evitar la superposición con las redes domésticas de los usuarios. Al configurar VPN, es mucho más predecible si su red es distinta de la de ellos.

Cawflands
fuente
2
+1: esta es una de las dos buenas razones para cambiar (la otra necesita más direcciones en la subred).
Richard
7

(sniff ... sniff) Huelo ... algo. Parece provenir de la dirección de su empresa de TI. Huele a ... tonto.

El cambio de subredes proporciona, en el mejor de los casos, una hoja de protección. No importa que el resto de ustedes no esté cubierto ...

Los días de los virus codificados han pasado hace mucho tiempo, y encontrará que el código malicioso es lo suficientemente "inteligente" como para mirar la subred de la máquina infectada y comenzar a escanear desde allí.

Avery Payne
fuente
+1 para hoja de parra.
msanford
Originalmente iba a decir "bacalao", pero de alguna manera eso sonaba más fuerte de lo necesario ...
Avery Payne
6

Yo diría que no es más seguro. Si entran en su enrutador, de todos modos les mostrará el rango interno.

Jack B Nimble
fuente
3

Como dijo otra persona, la única buena razón para cambiar de 192.168.1.x es si está utilizando VPN de enrutadores domésticos en el lado del cliente. Es la razón por la cual cada red que administro tiene una subred diferente porque yo y mis máquinas cliente hacemos VPN.

dmoisan
fuente
2

Supongo que algunos scripts de explotación de enrutador drive-by están codificados para ir a buscar la dirección de homerouter estándar. Entonces su respuesta es "seguridad a través de la oscuridad" ... excepto que no es oscura porque, dependiendo de cómo funciona el script, probablemente tenga acceso a la dirección de la puerta de enlace.

Tom Ritter
fuente
2

Realmente, es solo una leyenda urbana.

De todos modos, su razonamiento podría ser el siguiente: suponga que el rango 192.168.x.0 / 24 se usa más comúnmente. Entonces, tal vez, la próxima suposición será que, si hubiera una pieza de software malicioso en una de las PC, escanearía el rango 192.168.x.0 / 24 en busca de computadoras activas. No tenga en cuenta el hecho de que probablemente usaría algún mecanismo incorporado de Windows para el descubrimiento de la red.

Nuevamente, me parece un culto a la carga.

shylent
fuente
2

Los valores predeterminados del fabricante siempre son más explotables, ya que son las primeras opciones que se intentarán, pero el rango 10 también es un rango privado muy conocido y, si 192.168 no funciona, será la próxima que se intente. Llamaría "toro" a ellos.

Maximus Minimus
fuente
2

Ambos rangos son direcciones "privadas" e igualmente conocidas. Haz que alguien más cuide tu TI.

Saber qué rango de direcciones usa internamente no tiene absolutamente ninguna ventaja. Una vez que alguien tiene acceso a su red interna, puede ver qué direcciones usa. Hasta ese momento es un campo de juego nivelado.

John Gardeniers
fuente
1

No soy un chico de la red ... pero como persona de Linux, no veo cómo eso haría alguna diferencia. Cambiar una Clase C interna a otra realmente no hace nada. Si está en la red, seguirá obteniendo el mismo acceso independientemente de las direcciones IP.

Puede haber una pequeña diferencia desde la perspectiva de las personas que no saben lo que están haciendo trayendo sus propios enrutadores inalámbricos que serían predeterminados a 192.168.0 / 32. Pero en realidad no es más seguro.

Alex
fuente
1

Muchas de las amenazas actuales provienen de usuarios descuidados que ejecutan malware. Aunque puede no ofrecer mucha protección, no lo descartaría por completo como una leyenda urbana.

Se llamaría seguridad a través de la oscuridad si la protección se basara solo en la oscuridad (como poner un documento secreto en un servidor web público con un nombre de carpeta "aleatorio"), claramente este no es el caso.

Algunos scripts pueden estar codificados para escanear el rango 192.168.1.x y extender su propia copia. Otra razón práctica es que los enrutadores domésticos generalmente se configuran con ese rango, por lo que puede entrar en conflicto cuando configura vpn desde las máquinas domésticas, lo que a veces causa accidentes.

Eugene Yokota
fuente
1

Si un atacante está en posición de comprometer su red interna, está en posición de conocer su rango de IP.

Es más o menos así: si la única protección que está utilizando es su rango de direcciones IP, puedo conectar una máquina no configurada al conmutador y conocer su configuración de red en un par de segundos, solo por solicitud de ARP. Esto es esencialmente trabajo ocupado si la única razón detrás de esto es "seguridad".

Todo el dolor no hay ganancia.

Matt Simmons
fuente
0

Usar una clase de direccionamiento sobre otra no ofrece seguridad real más allá de lo que ya está implementado.

Hay tres tipos principales de clases de direcciones IP privatizadas:

Clase A: 10.0.0.0 - 10.255.255.255 Clase B: 172.16.0.0 - 172.31.255.255 Clase C: 192.168.0.0 - 192.168.255.255

trineo
fuente
3
Suspiro. El enrutamiento basado en clases ha sido irrelevante durante años. Lo que realmente quiere decir es que hay tres subredes privadas para usar.
Mark Henderson