Protezione dello spazio IP privato

2

Come tutti sappiamo, i router che acquisti dallo store vengono preimpostati per distribuire gli indirizzi IP tramite DHCP, generalmente su una delle tre reti: 10.0.1.1/24, 172.16.0.1/24 e 192.168.1.1/24 . Io personalmente limito il DHCP a un intervallo più piccolo e utilizzo le prenotazioni DHCP in base all'indirizzo MAC per rendere i dispositivi di rete toccanti tramite SSH, RDP. ecc. più facile. Sto per ri-IP della mia rete (per de-contrastarla con la mia configurazione di laboratorio), e ho avuto modo di pensare, è più sicuro usare una rete casuale all'interno dello spazio IP privato (es. 10.143.97.1/24 o 172.26 .248.1 / 24) rispetto all'utilizzo delle impostazioni predefinite che quasi tutte le società di rete utilizzano?

Penso che la risposta sia da qualche parte tra "forse" a "no, ma non potrebbe ferire". Mentre penserei che sarebbe più difficile per qualcuno malintenzionato arrivare alla pagina di amministrazione del router, mi rendo anche conto che chiunque con wireshark può vedere gli IP di origine / destinazione, in modo che possano capire la topologia della rete (almeno parte wireless di esso) in questo modo. Il filtraggio MAC, una passphrase strong e la crittografia aiutano tutti a proteggere la rete, quindi non credo che l'uso di una rete casuale sia necessariamente d'aiuto, ma non lo vedo nemmeno ferire.

    
posta Craine 20.05.2012 - 01:40
fonte

4 risposte

7

Le misure di sicurezza che sono l'argomento principale della tua domanda qui (filtraggio MAC, indirizzamento IP non standard) sostanzialmente equivalgono a "sicurezza attraverso l'oscurità". Sono molto deboli contro un attaccante dedicato, e quindi non dovrebbero essere considerati come le uniche funzioni di sicurezza nel tuo sistema.

Detto questo, anche la sicurezza attraverso l'oscurità ha il suo posto in un adeguato approccio di difesa-in-profondità. Tutto ciò che puoi fare per rendere più difficile per un utente malintenzionato compromettere il tuo sistema, senza avere un impatto troppo grande sull'usabilità del sistema, può essere considerato utile.

La mia configurazione domestica usa tutte le cose che hai menzionato, e poi alcune:

  • Filtro degli indirizzi MAC
  • ID di rete non standard (non finisce nemmeno in .0)
  • Sottorete ristretta (minore di / 24)
  • Indirizzi DHCP riservati per tutti i dispositivi registrati
  • Protezione WPA2 sulla rete Wi-Fi
  • PSK generato a caso da 63 caratteri
  • WPS disabilitato sugli AP

Questi ultimi tre elementi, oltre a una sicurezza fisica abbastanza strong sulla casa, sono le cose reali che tengono gli utenti non autorizzati fuori dalla mia rete dalla LAN. Fintanto che il WPA2 rimane abbastanza sicuro, nessuno annuserà il mio traffico sull'aria e tanto meno entrerà presto nella mia rete. Se mai arriva un momento in cui WPA2 è rotto e non è disponibile un sostituto adatto, sono abbastanza tranquillo che qualsiasi hacker wireless (a meno che non mi stia deliberatamente bersagliando personalmente, o dati specifici che risiedono sulla mia rete) rischia di andare avanti a un'altra vittima prima che si preoccupino di cercare di entrare nella mia rete.

L'unico vero lato negativo di queste misure di sicurezza aggiuntive è che può essere un po 'complicato ottenere nuovi dispositivi sulla rete, in particolare smartphone e tablet. Per la maggior parte delle persone, l'aggiunta di un nuovo dispositivo funziona in questo modo:

  1. Seleziona la rete Wi-Fi, inserisci PSK dalla memoria, premi "connetti".
  2. (Non c'è passaggio 2.)

Per me, è qualcosa di simile a questo:

  1. Accedi alla pagina di configurazione del router
  2. Scopri come ottenere l'indirizzo MAC dal nuovo dispositivo. Aggiungilo al filtro dell'indirizzo MAC sul router. Se nel filtro non sono presenti slot (sembra che i router Linksys siano limitati a 32), scegli un dispositivo inattivo da rimuovere dal filtro per creare spazio.
  3. Seleziona un indirizzo IP da assegnare al dispositivo, aggiungilo alle prenotazioni DHCP sul router. Se nessun IP è libero, scegli un IP inattivo per annullare la prenotazione e riassegnare.
  4. Se il nuovo dispositivo è un laptop o desktop, inserisci la pen drive, copia e incolla PSK nel nuovo sistema, fai clic su Connetti. Se si tratta di uno smartphone, un tablet o un altro dispositivo con funzioni limitate, caricare il file di testo con PSK sul mio laptop, inserire manualmente il PSK casuale a 63 caratteri sul nuovo dispositivo e fare clic su Connetti. Ripeti questo passaggio fino al successo.

Quindi, aggiungere un nuovo dispositivo può essere complicato, a volte in modo problematico. Fortunatamente, non è qualcosa che accade spesso. Oltre a questo, le misure di sicurezza aggiunte non hanno alcun impatto sull'utilizzabilità della rete per gli utenti autorizzati.

In che modo tutte queste misure extra effettivamente ti comprano? Forse solo una calda sensazione di confusione. Ne vale la pena? Questo è per te da decidere.

    
risposta data 20.05.2012 - 06:01
fonte
3

Sebbene una sottorete della rete locale "casuale" di solito non ti aiuti contro un attacco, ci sono stati sia attacchi CSRF che attacchi trojan o virus che si aspettano una certa configurazione di rete locale. La configurazione prevista è, in quasi tutti questi casi, avere il gateway su 192.168.0.1 o 192.168.1.1.

Anche se è molto improbabile che tu possa vedere alcun beneficio per la sicurezza nell'usare qualche configurazione di rete locale diversa, non è una cattiva idea scegliere comunque una sottorete meno comune. Ciò diventa particolarmente chiaro se provi a connettere la tua rete a una VPN.

    
risposta data 20.05.2012 - 11:01
fonte
1

Hai ragione, un indirizzo di rete casuale non farà male. Se si desidera evitare interferenze con altri indirizzi IP, esaminare RFC5735 per altri intervalli che non devono interferire con IP Internet validi, ma non si scontreranno con altri intervalli interni standard.

Anche l'uso di qualcosa di non standard ti proteggerà da script o altre minacce che cercano di modificare la configurazione del router tramite XSS / XSRF.

Probabilmente il filtraggio degli indirizzi MAC aiuterà, mentre solleva la barra perché l'hacker possa modificare l'indirizzo MAC delle loro apparecchiature - anche se c'è un argomento per non usarlo e invece monitorare la tua rete per i nuovi indirizzi MAC come un segno di intrusione.

    
risposta data 20.05.2012 - 16:58
fonte
0

Dato che ti sembra di essere in un luogo per intrattenere esperimenti mentali sulla sicurezza della rete, forse ti interesserà aggiungere più sicurezza alla tua rete WLAN dai un'occhiata a Isolamento del server e del dominio .

Questa implementazione garantisce che tutte le connessioni di rete siano autenticate da certificati basati su PKI. Chiunque non sia membro di tale PKI non è consentito.

È roba davvero buona e MSFT lo utilizza internamente dal 2006 almeno.

    
risposta data 04.06.2012 - 19:20
fonte

Leggi altre domande sui tag