Rete ISP interna nascosta di modem / router via cavo?

Naviga le tue risposte
1

Stavo effettuando una query sul mio router (Thomson TCW750-4) tramite l'SNMP e ho trovato alcune informazioni interessanti. Vedo che il router ha effettivamente cinque diverse configurazioni di rete operative:

  1. Loopback (IP router: 127.0.0.1 )
  2. Rete locale (IP router: 192.168.1.1 , subnet: 255.255.255.0 )
  3. Rete locale 2 (IP router: 192.168.100.1 , subnet: 255.255.255.0 )
  4. Rete WAN a banda larga (IP router: 109.X.X.X - dinamico, Sottorete: 255.255.252.0 )
  5. Rete interna dell'ISP (IP del router: 172.21.X.X - statico, subnet: 255.255.248.0 )

(Ho nascosto parti degli indirizzi per motivi di privacy con X)

Ora sono interessato a questa rete numero 5. In realtà non sono sicuro che si chiami 'rete interna ISP', questo è ciò che fondamentalmente ritengo sia. Dal mio computer connesso al router non posso accedere ad altri indirizzi su quella rete, ma posso accedere alla mia pagina di configurazione del router su quell'indirizzo nello stesso modo in cui faccio oltre 192.168.1.1!

Tuttavia all'interno della configurazione del router è presente una pagina di test ping e tramite tale ping posso eseguire il ping su altre macchine all'interno della rete 172.X.X.X.

Quindi le mie domande sono: a cosa serve questa rete? È essenziale che la rete via cavo funzioni correttamente? È solo lì in modo che il mio ISP possa accedere alla configurazione del mio router? Gli altri utenti della rete possono accedere alla configurazione del mio router su questa rete? Come?

Ho provato a rispondere all'ultima domanda testando, ma qualunque cosa faccia (ad esempio, configurare la rete del mio PC in tale intervallo di rete) non posso accedere (ping) a nessun'altra macchina in quell'intervallo. Tuttavia, il ping dalla pagina di test del router funziona. Quindi il router sta bloccando il traffico dalla rete locale a quella rete (che sarebbe una sorta di misura di sicurezza) o non so come configurare le cose correttamente. Quello che penso funzionerebbe sicuramente è, se qualcuno è riuscito a clonare il suo modem via cavo su un router più capace che esegue DD-WRT, per esempio potrebbe sostanzialmente raggiungere questa rete.

Tuttavia sarei interessato se è possibile raggiungere questa rete anche attraverso questi primitivi router che l'ISP sta dando ai suoi utenti (il router Thomson menzionato e la seconda opzione che gli utenti potrebbero ottenere è un Scientific Atlanta DPC2203), da alcuni sorta di configurazione.

Dichiarazione di non responsabilità: sto principalmente ricercando questo per sapere se la mia rete personale è vulnerabile o meno.

    
posta Ivan Kovacevic 27.10.2013 - 17:14
fonte

1 risposta

3

Gli indirizzi IP che iniziano con 172.21 si trovano nel blocco "172.16 / 12", riservato alle reti private da RFC 1918 . È plausibile che:

  • I router dell'ISP fanno effettivamente parte di una rete privata gestita da ISP.
  • L'ISP usa quella rete privata per parlare con i router, ad es. per riavviarli o configurarli da remoto.
  • I router sono configurati non per instradare i pacchetti tra quella rete privata e il resto del mondo, compreso Internet, e la rete locale sul lato del cliente (192.168. *. *). Questo non è sorprendente, dal momento che quella rete dovrebbe essere privata.

Come esattamente il router impedisce lo scambio di pacchetti tra la rete ISP (172.21) e la rete locale (192.168) è una domanda aperta. È possibile che il router sia molto essenziale in questo senso. La maggior parte di questi router funziona su un sistema operativo simile a Unix, spesso un derivato VxWorks o Linux. Supponiamo un Linux. Linux mantiene una tabella di routing, che gli direbbe qualcosa del tipo:

  • Esiste una rete locale con indirizzi IP 172.21.X.Y / 21 sull'interfaccia eth0 ; quando un pacchetto è per tale indirizzo, inviarlo su eth0 .
  • Esiste una rete locale con indirizzi IP 192.168.1.Z / 24 sull'interfaccia eth1 .

(Usa netstat -rn su una macchina Linux per vedere quella tabella.)

Se si configura il PC per assumere un indirizzo 172.21.U.V, ma ancora connesso su eth1 , è possibile portare una richiesta ICMP indirizzata a un altro indirizzo 172.21.X.Y all'attenzione del router; ma anche se il router accetta di inoltrarlo al computer di destinazione e la macchina di destinazione risponde, la risposta sarà per 172.21.UV e il router non la re-emetterà, o solo su eth0 , quindi si non vederlo Questo è il motivo per cui configurare il tuo PC con un indirizzo interno non ti permetterà di vedere nulla al riguardo.

Allo stesso modo, se si mantiene la macchina con il suo indirizzo 192.168.1.Z e si invia la richiesta ping da quella, il router la vedrà e probabilmente la inoltrerà sulla rete 172.21.X.Y. Ma poi, la risposta verrà inviata a 192.168.1.Z come visto dalla macchina di destinazione , che non sarà la tua macchina, ma probabilmente una macchina sulla rete interna di un altro cliente. O forse andrà al gateway predefinito di quella macchina target, cioè a Internet. Internet non sa che 192.168.1.Z è a casa tua, quindi non vedrai comunque la risposta.

Se si esegue il reflash del router con qualcosa come DD-WRT, è possibile accedere alla rete, tranne se il reflashing ha distrutto alcune credenziali che il router utilizzava per connettersi alla rete dell'ISP in primo luogo. Potresti avere più fortuna se trovi un buco sfruttabile nel router, permettendoti di dirottarlo senza riavviarlo : in questo caso, sembra altamente plausibile che questo ti darebbe accesso alla rete a tutti gli altri sistemi su questa rete privata, compresi (probabilmente) i router di altri clienti. A quel punto, i rischi dipendono molto da come le persone dell'ISP si autenticano con i router quando vogliono eseguire cose amministrative (ad esempio aggiornamenti del firmware). In questo momento hai zero informazioni sull'argomento. Per un utente malintenzionato, l'utilizzo di questa rete privata può essere utile in quanto un router di casa di destinazione (quello nella casa di qualcun altro ) è nominalmente accessibile da Internet ma attraverso i firewall dell'ISP e la rete privata potrebbe consentire di aggirare i suddetti firewall.

Un punto degno di nota è che il router vede una maschera di rete di 255.255.248.0 su quella rete 172.21.X.Y: questa è la stanza per circa 2000 indirizzi IP al massimo. Quindi questa rete privata è probabilmente utilizzata solo per un piccolo sottogruppo di router via cavo da quell'ISP.

    
risposta data 28.10.2013 - 16:27
fonte

Leggi altre domande sui tag

Come capire chi sta picchiando la mia installazione di WP con tentativi di accesso fasulli non-MiTM Reverse SSL