192.168.1.x अधिक शोषक?


24

हमारी आईटी सेवा फर्म आईपी रेंज 10.10.150.1 - 10.10.150.254 आंतरिक रूप से आईपी रेंज का उपयोग करने के लिए एक नेटवर्क पुनर्संरचना का प्रस्ताव कर रही है क्योंकि वे 192.168.1.x के निर्माता चूक का उपयोग करके वर्तमान आईपी योजना को "शोषण करने में आसान बनाने के लिए" बना रहे हैं।

क्या ये सच है? आंतरिक आईपी योजना को जानना / न जानना नेटवर्क को अधिक शोषक कैसे बनाता है? सभी आंतरिक सिस्टम एक SonicWall NAT और फ़ायरवॉल राउटर के पीछे हैं।


सोचा था कि मैं इस प्रश्न को जोड़ दूंगा : serverfault.com/questions/33810/… ऐसा लगता है कि यह कुछ समस्याएं हैं जो आपको इस मार्ग पर जाने के लिए हो सकती हैं।
यहोशू नर्कज़ी

23
यदि आपके पास आईटी सेवा कंपनी के साथ एनडीए नहीं है, तो क्या आप उन्हें नाम दे सकते हैं और उन्हें शर्मिंदा कर सकते हैं? फिर यहाँ हर कोई उनके सुराग की कमी और बिल बनाने का काम करने की इच्छा के कारण उनसे बच सकता है जो कुछ भी हासिल नहीं करता है
goo

आग उन्हें "स्मार्ट नहीं है" ..
dc5553

जवाबों:


55

यह "सुरक्षा द्वारा अस्पष्टता" की एक बहुत पतली परत को जोड़ देगा, जैसा कि 192.168.xy एक तरह से निजी नेटवर्क के लिए अधिक सामान्यतः उपयोग किया जाने वाला नेटवर्क पता है, लेकिन आंतरिक पते का उपयोग करने के लिए, बुरे लड़कों को आपके नेटवर्क के अंदर पहले से ही होना चाहिए , और केवल सबसे बेवकूफ हमले के उपकरण "गैर मानक" पता योजना द्वारा मूर्ख बनाए जाएंगे।

इसे लागू करने में लगभग कुछ भी खर्च नहीं हुआ, और यह बदले में लगभग कुछ भी नहीं प्रदान करता है।


7
+1 के लिए "लागत कुछ भी नहीं लगभग कुछ भी नहीं प्रदान करता है"। मैं यह सवाल करूंगा कि क्या इस तरह के बदलाव से $ $ में इसके मूल्य से अधिक दर्द नहीं हो सकता है, लेकिन यदि आप वास्तव में हैं, तो वास्तव में चिंतित हैं ... आगे बढ़ें और एक गैर-मानक आईपी रेंज का उपयोग करें। बस अपने डिफ़ॉल्ट राउटर पासवर्ड और पोर्ट को बदलना सुनिश्चित करें ... क्योंकि अन्यथा यह सिर्फ शर्मनाक है। मुस्कराहट
KPWINC

23
आपके नेटवर्क के आकार के आधार पर, मेरा तर्क है कि लागत कुछ भी नहीं से बहुत अधिक है। यदि आप वास्तव में सलाहकारों को नूडल सेंकना चाहते हैं, तो उन्हें बताएं कि आप मानते हैं कि पूर्वानुमेयता सूचना सुरक्षा की एक नींव है, और इस परिवर्तन को लागू करने से नेटवर्क कम सुरक्षित हो जाएगा, क्योंकि इसके लिए आपको कई एक्सेस कंट्रोल सूचियों और अन्य तकनीकी सुरक्षा नियंत्रणों को बदलना होगा। ।
18

1
मैं इस पर dr.pooter से सहमत हूँ। यह आपके बुनियादी ढांचे में एक बहुत बड़ा बदलाव है, जिसमें कोई वास्तविक लाभ नहीं है। एक मध्यम आकार के वातावरण और उच्चतर के लिए, इस का रसद (और जोखिम) अल्सर का आह्वान कर रहे हैं।
स्कॉट पैक

1
एक और समझौता। पूरी तरह से डीएचसीपी नेटवर्क पर केवल "लागत कुछ भी नहीं" परिवर्तन को स्थिर आईपी पते की आवश्यकता होती है (आमतौर पर नेटवर्क पर कोई सर्वर नहीं होता है)। यह सिरदर्द और बहुत समय खर्च करता है।
यहोशू Nurczyk

1
+1 से सहमत हैं। मैं किसी से भी सावधान रहूंगा जो अश्लीलता से सुरक्षा के एकमात्र उद्देश्य के लिए कुछ लागू करने के लिए लंबाई में जाता है।
स्क्वीलमैन

30

मेरे लिए अरबों की व्यस्तता की तरह लगता है।

इस तथ्य के अलावा कि कई उपभोक्ता उपकरण 192.168.xx एड्रेस स्पेस का उपयोग करते हैं (जिसका शोषण किया जा सकता है, जैसे कुछ और), मुझे नहीं लगता कि वास्तव में एक कॉर्पोरेट नेटवर्क के सुरक्षा परिदृश्य में बदलाव होता है। अंदर की चीजें बंद हैं, या वे नहीं हैं।

अपनी मशीनों / उपकरणों को वर्तमान सॉफ्टवेयर / फर्मवेयर पर रखें, नेटवर्क सुरक्षा के लिए सर्वोत्तम प्रथाओं का पालन करें, और आप अच्छे आकार में रहेंगे।


13
"बिलिबल बिजीवर्क" अवलोकन के लिए +1। किसी को वर्ष के लिए अपने पट्टे का भुगतान करने की आवश्यकता होती है और अपने ग्राहक प्रस्तावों के साथ रचनात्मक हो जाता है। =)
वेस्ले

+1 हाँ, नॉनपेप्टाइड ने क्या कहा
स्क्वीलमैन

3
+1 - शायद अगले बर्गलर अलार्म कंपनी का सुझाव होगा कि आप बर्गलरों को भगाने के लिए छलावरण रंगों में इमारत के बाहरी हिस्से को आज़माएं और पेंट करें! गैरबराबरी से सुरक्षा ...
इवान एंडरसन

10

आपकी आईटी फर्म की तरह लगता है मेरे लिए कुछ बिल योग्य काम करना चाहता है।

एकमात्र कानूनी कारण जो मैं 192.168.0.x या 192.168.1.x सबनेट से दूर रहने के बारे में सोच सकता हूं, वे vpn क्लाइंट के साथ सबनेट को ओवरलैप करने की संभावना के कारण हैं। यह चारों ओर काम करना असंभव नहीं है, लेकिन वीपीएन की स्थापना और मुद्दों का निदान करने के लिए कुछ जटिलताएं जोड़ता है।


1
हां, यह एकमात्र कारण है कि मैं आमतौर पर कार्यालयों के लिए 10.117.1.0/24 जैसे अजीब नेटवर्क का चयन करता हूं जिसमें उपयोगकर्ता वीपीएन हो सकते हैं।
कशानी

@ कशानी एक समझदार अभ्यास है। वास्तव में इतना समझदार, कि यदि आप IPv6 में निजी पतों का उपयोग करना चाहते हैं, तो RFC 4193 में 40 यादृच्छिक बिट्स को उपसर्ग में रखना अनिवार्य है ।
कैस्परड

9

192.168.xx पते का उपयोग न करने का एक बड़ा फायदा यह है कि उपयोगकर्ताओं के होम नेटवर्क के साथ ओवरलैप से बचने के लिए। वीपीएन की स्थापना करते समय यह अधिक अनुमानित है यदि आपका नेटवर्क उनके से अलग है।


2
+1: यह बदलने के दो अच्छे कारणों में से एक है (दूसरे को सबनेट में अधिक पते की आवश्यकता है)।
रिचर्ड

8

मुझे नहीं लगता कि यह संभावना है।
अपने वजन के लायक किसी भी शोषण स्कैनिंग के लिए सभी तीन निजी सबनेट श्रेणियों का उपयोग किया जाएगा ।

आपके IT के लिए कुछ संदर्भ यहां दिए गए हैं,


7

(सूँघना ... सूँघना) मुझे गंध ... कुछ। यह आपके आईटी फर्म की दिशा से आ रहा है। बदबू आ रही है ... बालोनी।

स्विचिंग सबनेट प्रदान करता है, सबसे अच्छा, सुरक्षा का एक अनुमान। बाकी आप को कवर नहीं किया गया है ...

हार्ड-कोडेड वायरस के दिन लंबे समय तक रहते हैं, और आप पाएंगे कि दुर्भावनापूर्ण कोड "स्मार्ट" है जो संक्रमित मशीन के सबनेट को देखने के लिए पर्याप्त है, और वहां से स्कैन करना शुरू करें।


अंजीर के लिए +1।
एमएसनफोर्ड

मैं मूल रूप से "कोडपीस" कहने जा रहा था, लेकिन किसी भी तरह जो जरूरत से ज्यादा मजबूत लग रहा था ...
Avery Payne

6

मैं कहूंगा कि यह अधिक सुरक्षित नहीं है। यदि वे आपके राउटर में टूट जाते हैं, तो यह उन्हें आंतरिक सीमा वैसे भी दिखाने वाला है।


3

जैसा कि एक अन्य व्यक्ति ने कहा, केवल 192.168.1.x से बदलने का अच्छा कारण है यदि आप क्लाइंट की तरफ से होम राउटर्स से वीपीएन का उपयोग कर रहे हैं। यही कारण है कि मेरे द्वारा प्रबंधित प्रत्येक नेटवर्क का एक अलग सबनेट है क्योंकि मैं और मेरे ग्राहक मशीन वीपीएन करते हैं।


2

मेरा अनुमान है कि कुछ ड्राइव-बाय राउटर शोषण लिपियों को हार्डकॉउट किया जाता है ताकि वे मानक होमरौटर पते को देख सकें। तो उनकी प्रतिक्रिया "अस्पष्टता के माध्यम से सुरक्षा" है ... सिवाय इसके कि यह अस्पष्ट नहीं है क्योंकि स्क्रिप्ट कैसे काम करती है, इसके आधार पर संभवत: यह प्रवेश द्वार के पते तक पहुंच है।


2

वास्तव में, यह सिर्फ एक शहरी किंवदंती है।

वैसे भी, उनके तर्क निम्नानुसार हो सकते हैं: मान लें, कि 192.168.x.0 / 24 रेंज का अधिक सामान्यतः उपयोग किया जाता है। फिर, शायद, अगली धारणा यह होगी कि, पीसी में से एक पर दुर्भावनापूर्ण सॉफ़्टवेयर का एक टुकड़ा था जो सक्रिय कंप्यूटरों के लिए 192.168.x.0 / 24 रेंज को स्कैन करेगा। इस तथ्य की अवहेलना करें, कि यह शायद नेटवर्क खोज के लिए कुछ विंडोज में निर्मित तंत्र का उपयोग करेगा।

फिर से - यह मेरे लिए माल-साधना जैसा लगता है।


2

निर्माता डिफॉल्ट हमेशा अधिक शोषक होते हैं क्योंकि वे पहले विकल्प होते हैं जिन्हें करने का प्रयास किया जाएगा, लेकिन 10 रेंज भी एक बहुत अच्छी तरह से ज्ञात निजी रेंज है, और - यदि 192.168 काम नहीं करता है - तो अगला प्रयास किया जाएगा। मैं उन पर "बुल" कहूंगा।


2

दोनों पर्वतमाला "निजी" पते हैं और समान रूप से प्रसिद्ध हैं। अपने आईटी की देखभाल करने के लिए किसी और को प्राप्त करें।

यह जानते हुए कि आप आंतरिक रूप से किस पते की सीमा का उपयोग करते हैं, कोई फायदा नहीं है। एक बार जब आपके आंतरिक नेटवर्क पर किसी की पहुंच होती है तो वे देख सकते हैं कि आप किन पते का उपयोग करते हैं। उस बिंदु तक यह एक स्तरीय खेल का मैदान है।


1

मैं एक नेटवर्क आदमी नहीं हूं ... लेकिन एक लिनक्स व्यक्ति के रूप में, मैं यह नहीं देखता कि इससे कोई फर्क कैसे पड़ेगा। एक आंतरिक कक्षा सी की अदला-बदली वास्तव में कुछ भी नहीं करती है। यदि आप नेटवर्क पर हैं, तो आपको आईपी एड्रेस क्या है, इसकी परवाह किए बिना आपको वही एक्सेस मिलेगा।

ऐसे लोगों के दृष्टिकोण से थोड़ा अंतर हो सकता है जो नहीं जानते कि वे अपने स्वयं के वायरलेस राउटर में क्या ला रहे हैं जो कि 192.168.0 / 32 तक डिफ़ॉल्ट होगा। लेकिन यह वास्तव में अधिक सुरक्षित नहीं है।


1

आज के कई खतरे मैलवेयर को अंजाम देने वाले लापरवाह उपयोगकर्ताओं के माध्यम से अंदर से आते हैं। हालाँकि यह बहुत अधिक सुरक्षा प्रदान नहीं कर सकता है , मैं इसे शहरी किंवदंती के रूप में पूरी तरह से खारिज नहीं करूंगा।

इसे अस्पष्टता के माध्यम से सुरक्षा कहा जाएगा यदि सुरक्षा केवल अस्पष्टता पर निर्भर करती है (जैसे "यादृच्छिक" फ़ोल्डर नाम के साथ सार्वजनिक वेब सर्वर पर गुप्त दस्तावेज़ डालना), यह स्पष्ट रूप से ऐसा नहीं है।

कुछ लिपियों को 192.168.1.x श्रेणी को स्कैन करने और अपनी प्रति फैलाने के लिए हार्डकोड किया जा सकता है। एक और व्यावहारिक कारण यह है कि होम राउटर आमतौर पर उस सीमा के साथ कॉन्फ़िगर किए जाते हैं, इसलिए जब आप होम मशीनों से वीपीएन सेट करते हैं, तो यह कभी-कभी दुर्घटनाओं का कारण बन सकता है।


1

यदि कोई हमलावर आपके आंतरिक नेटवर्क से समझौता करने की स्थिति में है, तो वे आपके आईपी रेंज को जानने की स्थिति में हैं।

यह इस तरह से है: यदि आपके द्वारा उपयोग की जा रही एकमात्र सुरक्षा आपकी IP पता श्रेणी है, तो मैं स्विच में एक अपुष्ट मशीन को प्लग कर सकता हूं और कुछ ही सेकंड में, ARP अनुरोधों से आपके नेटवर्क कॉन्फ़िगरेशन को सीख सकता हूं। यह अनिवार्य रूप से व्यस्त है अगर इसके पीछे एकमात्र कारण "सुरक्षा" है।

सभी दर्द कोई लाभ नही।


0

किसी अन्य पर एक संबोधित वर्ग का उपयोग करना, जो पहले से लागू है, उसके ऊपर और बाहर कोई वास्तविक सुरक्षा प्रदान नहीं करता है।

निजीकृत आईपी पता वर्ग के तीन प्रमुख प्रकार हैं:

कक्षा A: 10.0.0.0 - 10.255.255.255 कक्षा B: 172.16.0.0 - 172.31.255.255 कक्षा C: 192.168.0.0 - 192.168.255.255


3
आह। वर्ग आधारित रूटिंग वर्षों से अप्रासंगिक है। आप वास्तव में क्या मतलब है कि उपयोग के लिए तीन निजी सबनेट हैं।
मार्क हेंडरसन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.