192.168.1.xはより悪用可能ですか？

Question

当社のITサービス会社は、製造元のデフォルトの192.168.1.xを使用する現在のIPスキームが「簡単に活用できる」と述べているため、IP範囲10.10.150.1〜10.10.150.254を内部で使用するネットワーク再構成を提案しています。

これは本当ですか？内部IPスキームを知っている/知らないことは、ネットワークをどのように利用しやすくするのですか？すべての内部システムはSonicWall NATおよびファイアウォールルーターの背後にあります。

Sven · Accepted Answer

192.168.xyはプライベートネットワークでより一般的に使用されるネットワークアドレスであるため、これにより、せいぜい「あいまいさによるセキュリティ」の非常に薄いレイヤーが追加されますが、内部アドレスを使用するには、悪意のあるユーザーがすでにネットワーク内にいる必要があります、そして最も愚かな攻撃ツールだけが「非標準」アドレススキームにだまされるでしょう。

これを実装するのにほとんど費用はかかりませんし、見返りにほとんど何も提供しません。

Geoff Fritz · Answer

私にとって請求の対象となる忙しい仕事のように聞こえます。

多くの家庭用電化製品が192.168.x.xアドレススペースを使用しているという事実（それは他のものと同様に悪用される可能性があります）を除いて、企業ネットワークのセキュリティランドスケープを本当に変えるとは思いません。中身はロックダウンされているか、そうではありません。

マシン/デバイスを最新のソフトウェア/ファームウェアで維持し、ネットワークセキュリティのベストプラクティスに従うことで、良好な状態になります。

3dinfluence · Answer

あなたのIT会社は私にいくつかの請求可能な仕事を望んでいるように聞こえます。

私が192.168.0.xまたは192.168.1.xサブネットから離れていると考えることができる唯一の正当な理由は、VPNクライアントとサブネットが重複している可能性が高いためです。これは回避することは不可能ではありませんが、VPNの設定と問題の診断に複雑さを追加します。

Cawflands · Answer

192.168.x.xアドレッシングを使用しないことの大きな利点の1つは、ユーザーのホームネットワークとの重複を避けることです。 VPNを設定するとき、ネットワークがネットワークと異なる場合は、はるかに予測可能です。

nik · Answer

これは可能性が高いとは思わない。
その価値に見合うすべてのエクスプロイトは、スキャンにすべてのつのプライベートサブネット範囲を使用します。

ITに関する参考資料をいくつか紹介します。

記事の参照： Webインターフェイスを介したイントラネットのハッキングは、1.0.0.0/8や2.0.0.0/8などのネットワークを使用している企業の可能性についてもカバーしています。
古い Sasserは10/8および192.168/16をスキャンしました

Avery Payne · Answer

（sniff ... sniff）においがする...何か。それはあなたのIT会社の方向から来ているようです。匂いは...バローニー。

サブネットの切り替えは、せいぜい、保護の図葉を提供します。あなたの残りの部分はカバーされていません...

ハードコード化されたウイルスの時代はlong過去であり、悪意のあるコードは感染したマシンのサブネットを調べ、そこからスキャンを開始するのに十分なほど「スマート」であることがわかります。

Jack B Nimble · Answer

それはもっと安全ではないと思います。ルーターに侵入した場合でも、内部範囲が表示されます。

dmoisan · Answer

別の人が言ったように、192.168.1.xから変更する正当な理由は、クライアント側のホームルーターからVPNを使用している場合だけです。私と私のクライアントマシンがVPNを実行しているため、管理しているすべてのネットワークに異なるサブネットがあるのはこのためです。

Maximus Minimus · Answer

メーカーのデフォルトは、最初に試行されるオプションであるため、常により悪用されやすくなりますが、10の範囲はvery既知のプライベート範囲でもあり、192.168が機能しない場合は次の範囲になります1つ試してみました。私はそれらを「雄牛」と呼びます。

John Gardeniers · Answer

どちらの範囲も「プライベート」アドレスであり、同様によく知られています。他の誰かにITの世話をしてもらいます。

内部でどのアドレス範囲を使用するかを知ることは、まったく利点がありません。誰かがあなたの内部ネットワークにアクセスできるようになると、彼らはあなたが使っているアドレスを見ることができます。その時点まで、それは平等な競争の場です。

Tom Ritter · Answer

私の推測では、一部のドライブバイルーターエクスプロイトスクリプトは、標準のホームルーターアドレスを調べるようにハードコードされていると思います。したがって、彼らの応答は「あいまいさによるセキュリティ」です...スクリプトがどのように機能するかによっては、おそらくゲートウェイアドレスにアクセスできるため、あいまいではないことを除きます。

shylent · Answer

本当に、それは単なる都市伝説です。

とにかく、その理由は次のとおりです。192.168.x.0/ 24の範囲がより一般的に使用されていると仮定します。次に、おそらく次の仮定は、アクティブなコンピューターの192.168.x.0/24の範囲をスキャンするPCの1つに悪意のあるソフトウェアがあった場合です。ネットワークの検出にWindowsの組み込みメカニズムを使用する可能性があるという事実は無視してください。

繰り返しますが、それは私にとって貨物崇拝のように聞こえます。

Alex · Answer

私はネットワークの専門家ではありません...しかしLinuxの人間として、それがどのように違いをもたらすかはわかりません。ある内部クラスCを別のクラスCに交換しても、実際には何も起こりません。ネットワークに接続している場合でも、IPアドレスに関係なく、同じアクセスが得られます。

デフォルトの192.168.0/32になる独自のワイヤレスルーターを持ち込み、何をしているのかを知らない人の観点からは、わずかな違いがあるかもしれません。しかし、それは本当に安全ではありません。

Eugene Yokota · Answer

今日の脅威の多くは、不注意なユーザーがマルウェアを実行することで内部から侵入しています。 多くの保護を提供しないかもしれませんが、都市の伝説としてそれを完全に却下することはしません。

保護があいまいさだけに依存している場合（ "ランダムな"フォルダー名のパブリックWebサーバーに秘密のドキュメントを置くなど）、あいまいさによるセキュリティと呼ばれますが、これは明らかにそうではありません。

一部のスクリプトは、192.168.1.xの範囲をスキャンして独自のコピーを拡散するようにハードコードされている場合があります。もう1つの実用的な理由は、ホームルーターは通常その範囲で構成されているため、ホームマシンからVPNをセットアップすると競合し、場合によっては事故を引き起こす可能性があります。

Matt Simmons · Answer

攻撃者が内部ネットワークを危険にさらす可能性がある場合、攻撃者はあなたのIP範囲を知ることができます。

それは次のようなものです。使用している唯一の保護がIPアドレスの範囲である場合、未構成のマシンをスイッチに接続し、ARP要求だけで数秒でネットワーク構成を知ることができます。その背後にある唯一の理由が「セキュリティ」である場合、これは本質的に忙しい作業です。

すべての痛み、利益なし。

sledge · Answer

あるアドレッシングクラスを別のアドレッシングクラスで使用しても、すでに実装されているもの以上の実際のセキュリティは提供されません。

プライベートIPアドレスクラスには、主に3つのタイプがあります。

クラスA：10.0.0.0-10.255.255.255クラスB：172.16.0.0-172.31.255.255クラスC：192.168.0.0-192.168.255.255