192.168.1.x更可利用吗？

24

我们的IT服务公司提议对网络进行重新配置，以内部使用IP范围10.10.150.1 – 10.10.150.254，因为他们声明使用制造商默认值192.168.1.x的当前IP方案“正在使其易于利用”。

这是真的？知道/不知道内部IP方案如何使网络更容易被利用？所有内部系统都位于SonicWall NAT和防火墙路由器的后面。

networking tcpip hacking

— 迈克尔·格伦
source

以为我会添加一个问题：serverfault.com/questions/33810/… 看来，这概述了如果您选择这条路线可能会遇到的一些问题。

— 2009年

23

如果您没有IT服务公司的保密协议，您能给他们起名并感到羞耻吗？然后，这里的每个人都可以由于他们缺乏线索和创建无价的可计费工作的愿望而回避

— goo 2009年

火中他们是“不聪明” ..

— dc5553

55

充其量最多会增加一层“默默无闻的安全性”的非常薄的层，因为192.168.xy是专用网络更常用的一种网络地址，但是为了使用内部地址，坏男孩必须已经在网络内部，只有最愚蠢的攻击工具才会被“非标准”地址方案所欺骗。

实施此操作几乎不需要花费任何成本，并且它几乎没有提供任何回报。

— 斯文
source

7

+1表示“不花钱，几乎不提供任何东西”。我想问这样的变化是否会使a $$比它的价值更痛苦，但是如果您真的很担心……请继续使用非标准IP范围。只要确保更改您的默认路由器密码和端口即可，否则会令人尴尬。咧嘴笑

— KPWINC

23

根据您的网络规模，我认为成本要比没有成本高得多。如果您真的想烘烤顾问的面，请告诉他您认为可预测性是信息安全的基础，并且实施此更改将使网络的安全性降低，因为它将需要您更改许多访问控制列表和其他技术安全控制。

— pooter博士

1

我同意pooter博士的观点。这对您的基础架构来说是非常大的变化，该死的几乎没有真正的好处。对于中等大小及更高的环境，其后勤（和风险）会引起溃疡。

— Scott Pack

1

另一个协议。在完全不需要静态IP地址（通常意味着网络上没有服务器）的完全DHCP网络上，更改仅“不花钱”。它花费了很多时间，但令人头疼。

— 2009年

1

+1同意。我会警惕任何人为了掩盖安全而竭尽全力实现某些目标的人。

— squillman

30

对我来说听起来像是繁重的工作。

除了许多消费类设备都使用192.168.xx地址空间（可以像其他任何东西一样可以被利用）的事实之外，我认为并没有真正改变公司网络的安全格局。内部的事物被锁定，或者没有被锁定。

使您的机器/设备保持在当前的软件/固件上，遵循网络安全最佳实践，您将保持良好状态。

— 杰夫·弗里茨
source

13

+1为“可计费的繁忙工作”观察。有人需要支付当年的租金，并对他们的客户建议进行创新。=）

— 韦斯利

+1是，Nonapeptide怎么说

— squillman

3

+1-也许接下来，防盗警报公司会建议您尝试用伪装色为建筑物的外墙涂漆，以防盗贼！通过荒唐的手段实现安全……

— Evan Anderson

10

听起来您的IT公司想要我做些可计费的工作。

我能想到远离192.168.0.x或192.168.1.x子网的唯一合法原因是由于可能与vpn客户端有重叠的子网。这不是不可能的解决方法，但确实会增加设置vpn的启动和诊断问题的复杂性。

— 3分流
source

1

是的，这是我通常为办公楼选择奇怪的网络（例如10.117.1.0/24）的唯一原因，因为办公楼可能会有用户通过VPN接入。

— kashani 2009年

@kashani这是明智的做法。实际上如此明智，以至于如果您想在IPv6中使用私有地址，RFC 4193甚至要求在前缀中放入40个随机位。

— kasperd '16

9

不使用192.168.xx寻址的一大优势是避免与用户的家庭网络重叠。设置VPN时，如果您的网络与他们的网络不同，则可以更容易预测。

— 考夫兰兹
source

2

+1：这是更改的两个很好的理由之一（另一个是在子网中需要更多地址）。

— 理查德

8

我认为这不太可能。
任何有价值的攻击都将使用所有三个专用子网范围进行扫描。

这是您的IT的一些参考，

文章参考：通过Web界面入侵企业内网，甚至讨论了使用诸如1.0.0.0/8和的网络的公司的可能性2.0.0.0/8。
老震荡波扫描10/8和192.168 / 16

— 尼克
source

7

（闻...闻）我闻到...了。它似乎来自您的IT公司的方向。闻起来像...鲍尼

交换子网充其量只能提供保护。没关系，其余的人都没有被覆盖...

硬编码病毒的日子是漫长的过去，你会发现，恶意代码是足够“智能”来看看被感染机器的子网，并从那里开始扫描。

— 艾弗里·佩恩
source

+1为无花果。

— msanford，2009年

我本来打算说“ codpiece”，但是听起来比需要的还要坚固……

— Avery Payne

6

我会说这不是更安全。如果它们闯入您的路由器，无论如何都会向他们显示内部范围。

— 杰克·B·尼姆布尔
source

3

就像另一个人所说，从192.168.1.x更改的唯一很好的理由是，如果您正在客户端的家庭路由器上使用VPN。这就是我管理的每个网络都具有不同子网的原因，因为我和我的客户端计算机都使用VPN。

— 德莫桑
source

2

我的猜测是，某些直接驾驶路由器利用脚本经过硬编码，可以查看标准的家庭路由器地址。因此，他们的响应是“通过模糊实现安全性” ...除非模糊不清，因为根据脚本的工作方式，它可能有权访问网关地址。

— 汤姆·里特
source

2

确实，这只是一个城市传奇。

无论如何，它们的理由可能如下：假设更普遍使用192.168.x.0 / 24范围。然后，也许下一个假设是，如果其中一台PC上存在一块恶意软件，它将扫描192.168.x.0 / 24范围内的活动计算机。忽略这一事实，即它可能会使用某些Windows内置机制进行网络发现。

再次-对我来说，这听起来像是货真价实的崇拜。

— 沉默
source

2

厂商的默认值总是更可利用的，因为他们将要尝试的第一选择，但10范围内也是一个非常知名的私立范围， -如果192.168不工作-将是下一个尝试。我会称他们为“公牛”。

— 马克西姆斯·迷你姆斯（Maximus Minimus）
source

2

这两个范围都是“私有”地址，并且同样众所周知。让其他人来照顾您的IT。

知道内部使用哪个地址范围绝对没有优势。一旦某人可以访问您的内部网络，他们就可以看到您使用的地址。到那时为止，这是一个公平的竞争环境。

— 约翰·加迪尼尔
source

1

我不是网络专家...但是作为Linux专家，我不认为这会有什么不同。将一个内部C类交换到另一个内部C并没有任何作用。如果您在网络上，则无论IP地址是什么，您仍将获得相同的访问权限。

从不了解自己正在做什么的人的角度来看，可能会有细微的差别，他们会带来自己的默认值为192.168.0 / 32的无线路由器。但这确实不再安全。

— 亚历克斯
source

1

当今许多威胁来自内部执行恶意软件的粗心用户。尽管它可能无法提供太多保护，但我不会完全将其视为城市传奇。

如果保护仅依赖于模糊处理（例如将机密文档放在具有“ random”文件夹名称的公共Web服务器上），则可以将其称为“通过模糊处理进行安全性”，显然不是这种情况。

某些脚本可能经过硬编码以扫描192.168.1.x范围并传播其自己的副本。另一个实际原因是家用路由器通常配置有该范围，因此从家用计算机设置VPN时可能会发生冲突，有时会导致事故。

— 横田Eugene
source

1

如果攻击者可以破坏您的内部网络，那么他们就可以了解您的IP范围。

就像这样：如果您使用的唯一保护是IP地址范围，那么我可以通过ARP请求在几秒钟内将未配置的计算机插入交换机并了解您的网络配置。如果其背后的唯一原因是“安全性”，则这实际上是繁琐的工作。

所有的痛苦，没有收获。

— 马特·西蒙斯
source

0

在已经实现的范围之外使用一个寻址类别而不是另一个寻址类别并不能提供真正的安全性。

私有IP地址类别有三种主要类型：

A级：10.0.0.0-10.255.255.255 B级：172.16.0.0-172.31.255.255 C级：192.168.0.0-192.168.255.255

— 雪橇
source

3

叹。多年来，基于类的路由无关紧要。您实际上的意思是有三个专用子网可供使用。

— 马克·亨德森