Jump to content



Επιπτώσεις στην ασφάλεια & IP-range


TifoziF1

Recommended Posts

Θέλω να ρωτήσω αν σε ένα μικρό SOHO εσωτερικό δίκτυο (σαν αυτά του σπιτιου με 4-5 συσκευές ή αυτό μιας μικρής εταιρίας με 7-8 pc) θέσω στον εσωτερικό ρουτερ/DHCP ένα ip range που υπάρχει κανονικά στο internet όπως το 198.34.64.xxx ή 90.14.xx.xx (IPs που ανήκουν σε ένα πάροχο internet στην Ιταλία ή στην Σενεγάλη για παράδειγμα), πέρα από το θέμα ότι οι συσκευές δεν θα βλέπουν αυτά τα internet IPs το οποίο δεν με νοιάζει καθόλου, προκύπτει θέμα ασφάλειας ? Τι επιπτώσεις στην ασφάλεια του εσωτ. δικτύου υπάρχουν ?

Link to comment
Share on other sites

Τι τρελό μαγείρεμα είναι αυτό που πας να κάνεις?

Η εσωτερική σου διευθυνσιοδότηση είναι εσωτερική και είτε 192.σκατ@ είναι είτε οτιδήποτε, δεν έχει να κάνει με την ασφάλειά σου από έξω προς τα μέσα.

Link to comment
Share on other sites

Δεν έχει καμία σημασία τι διευθύνσεις θα βάλεις στο εσωτερικό δίκτυο.

Αναλογία: Στη πόλη σου (το IP που σου δίνει ο ISP σου) το ταχυδρομείο (router) έχει ορίσει ονόματα για ένα κάρο δρόμους (198.34.64.ΧΧΧ). Όταν θα σου στείλουν γράμμα (data), η διεύθυνση θα είναι της μορφής: Όνομα πόλης (internet IP) και όνομα δρόμου (198...). Δεν έχει σημασία άμα το όνομα δρόμου είναι κοινό και σε άλλες πόλεις, αρκεί το όνομα της πόλης (internet IP) να είναι μοναδικό και το όνομα του δρόμου να είναι μοναδικό στη πόλη σου.

Από θέμα ασφάλειας δεν έχει κανένα νόημα. Από έξω από το δίκτυο σου τα εσωτερικά IP σου (198.34.64.xxx) αντιστοιχούν σε άλλους υπολογιστές.

Link to comment
Share on other sites

Ούτε βελτιώνει ούτε χειροτερεύει την ασφάλεια του δικτύου.

Τι προσπαθείς να αποφύγεις να πάθεις ; Αν είναι για να αποφύγεις επιθέσεις mitm

τότε κοίτα για static dhcp στο router και για static arp table στα pc.

Link to comment
Share on other sites

Δεν έχει καμιά διαφορά στην ασφάλεια. Βέβαια δεν ξέρω εαν το ρούτερ σου δεχθεί να γίνει χρήση public IPs για το εσωτερικό δίκτυο, μιας και εαν είναι κλασικό modem-router έχει και NAT/PAT λογικά ενεργοποιημένο.

Κατ εμέ για να έχεις πιο πολύ ασφάλεια βάλε καρφωτές ip στα μηχανήματα σου και δήλωσε τις mac-addresses απο τις κάρτες NIC των μηχανημάτων, στο ρουτερ, για να κάνει μόνο αυτά αποδεκτά.

Έπειτα εξοπλίσου με ένα καλό firewall και 8ψήφια+ passwords.

Αν πχ μιλάμε για cisco router (οχι linksys απλό) μπορώ να σου πω πιο ωραία κόλπα...

Ελπίζώ να κατάλαβα τι θες και να βοήθησα!

Link to comment
Share on other sites

Κατ εμέ για να έχεις πιο πολύ ασφάλεια βάλε καρφωτές ip στα μηχανήματα σου και δήλωσε τις mac-addresses απο τις κάρτες NIC των μηχανημάτων, στο ρουτερ, για να κάνει μόνο αυτά αποδεκτά.

έχει γίνει ήδη + iptables με φιλτρο mac address αλλά αν γίνει spoof? Εκεί έρχετε το static arp αλλά με τα κινητά τι γίνεται ? Ή μπαίνουν σε δικό τους VLAN (χάνω το media streaming, backup etc) ή λέω δεν βαριέσαι καλό είνια και το WPA2/AES/25chars pass ?

Να στήσω freeradius ? Αξίζει ?

Έπειτα εξοπλίσου με ένα καλό firewall και 8ψήφια+ passwords.
παίζω με software router/firewall (VM) τώρα να δώ πως πάει.
Link to comment
Share on other sites

Να ορίσεις ζώνες στο firewall ώστε οι συσκευές που έχουν δημόσια διεύθυνση να είναι σε ξεχωριστή ζώνη από τιις υπόλοιπες. Κατά τ' άλλα θέλει εξίσου προσοχή είτε έχουν δημόσια είτε ιδιωτική διεύθυνση. Αλλά δεν καταλαβαίνω γιατί θέλεις να στήσεις radius ή γιατί να ανησυχείς επιπλέον αν η διεύθυνση είναι δημόσια.

Link to comment
Share on other sites

Να ορίσεις ζώνες στο firewall ώστε οι συσκευές που έχουν δημόσια διεύθυνση να είναι σε ξεχωριστή ζώνη από τιις υπόλοιπες.

Kάτι δεν κατάλαβα. Ο DHCP του ρουτερ δίνει public IPs (πχ 195.170.χχ.χχ) αντί για private IPs του στυλ 10.χ.χ.χ ή 192.168.χ.χ ή 172.16-31.xx.xx

Link to comment
Share on other sites

Για τι ρουτερ μιλάμε? Ο DHCP δίνει λογικά private ή οτι του ορίσεις!

Να θυμάσαι: Απλές ρυθμίσεις και λίγα πράγματα. Με πολλά θα μπερδευτείς κ σε περίπτωση breach δεν θα μπορείς να βρείς από που την πάτησες.

Αν μπορείς κλείσε τις πόρτες του telnet και το ping reply.

Link to comment
Share on other sites

Πολύ καλή και φθηνή αντιπρόταση έναντι στα cisco routers, είναι τα Peplink

Δοκίμασε το interactive demo. Δεν χρειάζεται να έχεις ιδιαίτερες γνώσεις από ACL μιας και έχουν GUI με επιλογές τι να κόβεις και τι να περνάει. Πολύ απλά σε χειρισμό σε σχέση με cisco CLI.

Link to comment
Share on other sites

Νομίζω είναι μια από τις περιπτώσεις που δεν χρειάζεται να κάνεις κάτι απλά επειδή μπορείς :).

Στο δικό μου μυαλό αυξάνει η πολυπλοκότητα χωρίς να υπάρχει προφανές πλεονέκτημα. Συνήθως το obfuscation δυσχεραίνει περισσότερο αυτόν που υποστηρίζει την υποδομή, παρά τον επίδοξο σφετεριστή...

Κρατάω πάντως από όλους τις προτάσεις για appliance routers/firewalls, να δω πότε θα προλάβω να τα δοκιμάσω!

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Δημιουργία...

Important Information

Ο ιστότοπος theLab.gr χρησιμοποιεί cookies για να διασφαλίσει την καλύτερη εμπειρία σας κατά την περιήγηση. Μπορείτε να προσαρμόσετε τις ρυθμίσεις των cookies σας , διαφορετικά θα υποθέσουμε ότι είστε εντάξει για να συνεχίσετε.