Tedd Skrevet 3. juni 2009 Del Skrevet 3. juni 2009 (endret) Jeg sitter her med en ikke navngitt ISP som jeg er kjempefornøyd med. La oss starte historien... det var en gang... osv... Setter opp en intern range på 192.168.x.x for testing av hardware og software sikkerhets løsninger. Starter en portscann på 192.168.0.1 - 192.168.100.254... håper å ikke se noen av de boksene jeg her satt opp på denne rangen... jeg vet at dette tar tid så jeg går for å lage meg litt mat... Joa... portscannen finner masse på den rangen.... over 100++ adresser svarer... Ikke mine bokser, men adresser utenifra!!! ? Det ser ut til at min ISP router 192.168.x.x og 10.x.x.x i sitt nett... Tok en traceroute til en av disse 192.168.67.147(random) og ser routen går litt ut og inn mellom ofisielle og private ip-ranger ??! Så spørsmålene er som følger: Er dette normalt nå om dagen? Trodde disse rangeme ikke skulle rutes ut mot internet jeg? Vil ikke dette medføre store problemer? Tedd Endret 3. juni 2009 av Tedd Lenke til kommentar
L4r5 Skrevet 3. juni 2009 Del Skrevet 3. juni 2009 Normalt sett så skal ikke disse rutes nei. Hva med 172.16.x.x til 172.31.x.x-nettet? Rutes det også? Jeg kan se for meg ganske mange problemer når private ip-ranger rutes. Hvilken ISP har du? Forresten så jeg på et sykehus her for litt siden noe like idiotisk. De brukte offentlige ip-er på sitt interne nett. Lenke til kommentar
Tedd Skrevet 3. juni 2009 Forfatter Del Skrevet 3. juni 2009 Normalt sett så skal ikke disse rutes nei. Hva med 172.16.x.x til 172.31.x.x-nettet? Rutes det også? Jeg kan se for meg ganske mange problemer når private ip-ranger rutes. Hvilken ISP har du? Forresten så jeg på et sykehus her for litt siden noe like idiotisk. De brukte offentlige ip-er på sitt interne nett. Har ikkelyst til å opplyse dette enda, da jeg har en dialog med dem om dette... får se om de har noe fornuftig å komme med først... Ender vel opp med at jeg må selv sperre disse rangene i min locale router.... Tedd Lenke til kommentar
Knopfix Skrevet 3. juni 2009 Del Skrevet 3. juni 2009 Jeg opplever det samme via en underlevrandør av Lyse. Det første som slår meg er at de burde kunne "se" meg hvis jeg ser dem. Antar det er en feil i ruting fra ISP eller bedrifters side da private IP adresser dukker opp blant mine. De private adressene jeg jeg finner når jeg skanner mitt private nett bak en ruter er 192.168.x.x/255.255.255.0 , 172.16.x.x/255.255.0.0 og 10.x.x.x/255.0.0.0 adresse blokkene som ikke er "lovelig" å rute på Internet. I et coax nett er mulighetene for å kunne se naboen stor da man deler samme "broadcast domene", men med private IP adresser "gjemt" bak NAT så burde man kun "se" seg selv. Hvis jeg hadde vært slem kunne jeg krøllet til temp følere osv da jeg når de via nettleseren innenfor mitt eget nettverk. Lenke til kommentar
nomore Skrevet 3. juni 2009 Del Skrevet 3. juni 2009 Forresten så jeg på et sykehus her for litt siden noe like idiotisk. De brukte offentlige ip-er på sitt interne nett. Kan du utdype hvorfor dette er like idiotisk? Lenke til kommentar
L4r5 Skrevet 3. juni 2009 Del Skrevet 3. juni 2009 Kan du utdype hvorfor dette er like idiotisk? Mulig jeg uttalte meg litt uklart. De hadde brukt en hel offentlig A-range på sitt interne nettverk. Ikke vet jeg hvilke nettsider som ikke vises men det må være en del. Lenke til kommentar
nomore Skrevet 3. juni 2009 Del Skrevet 3. juni 2009 Det er ikke sikkert. Så lenge nettet ikke er NAT'et og så lenge sykehuset(IT avdelingen eller IKT-leverandøren) eier rangen det er snakk om så er det jo ikke noe problem. Slik kommentaren din var skrevet virker det som om all bruk av offentlige IP adresser uten NATing er en uting/idiotisk. Lenke til kommentar
Knopfix Skrevet 3. juni 2009 Del Skrevet 3. juni 2009 Det er ikke sikkert. Så lenge nettet ikke er NAT'et og så lenge sykehuset(IT avdelingen eller IKT-leverandøren) eier rangen det er snakk om så er det jo ikke noe problem. Slik kommentaren din var skrevet virker det som om all bruk av offentlige IP adresser uten NATing er en uting/idiotisk. Det utgjør en sikkerhetsrisiko å bruke offentlige adresser på interne nett. Da NAT/PAT mangler er alle porter i utgangspunktet tilgjengelig. NAT/PAT ble til pga av mangel på offenlige adresser og sikkerheten bak porter kom med på kjøpet. Lenke til kommentar
nomore Skrevet 3. juni 2009 Del Skrevet 3. juni 2009 (endret) Man kan ikke annse NAT som en sikkerhetsfunksjon. Det gjør direkte angrep mot enkeltklienter vanskeligere ja, men gjør det ikke umulig. For å hindre angrep bruker man naturligvis en brannmur, og det bør man uansett ha om man har et offentlig nett eller ikke. Og for at offentlige ip adresser på lokale nett skal være en sikkerhetsrisiko så må man være tilkoblet uten brannmur eller noen form for filter. Og i veldig mange situasjoner annses NAT som en hemsko, ikke som en ettertraktet funksjon. Endret 3. juni 2009 av nomore Lenke til kommentar
L4r5 Skrevet 3. juni 2009 Del Skrevet 3. juni 2009 Det er ikke sikkert. Så lenge nettet ikke er NAT'et og så lenge sykehuset(IT avdelingen eller IKT-leverandøren) eier rangen det er snakk om så er det jo ikke noe problem. Slik kommentaren din var skrevet virker det som om all bruk av offentlige IP adresser uten NATing er en uting/idiotisk. Hvor stor er sannsynligheten for at et privat drevet sykehus fra lillenorge eier en hel a-range? Ja, jeg vet at jeg muligens uttaler meg rart, men jeg har promille så det er grunnen. Lenke til kommentar
Tedd Skrevet 4. juni 2009 Forfatter Del Skrevet 4. juni 2009 Huffda.... Snakk om kidnapping av forumtråd.... De som ønsker å diskutere sykehus og deres bruk av ip... kan dere ikke starte en ny tråd.. er sikkert flere som ønsker å si noe om det... Tilbake til det jeg spurte om... Noen som har noe å si om ISP'er som bruker de tre private blokkene til eget nett? Da mener jeg at de ruter dem og ikke bare bruker dem. De tre nettene er beskrevet her: http://www.ripe.net/db/rfc1918.html Tedd Lenke til kommentar
tingo Skrevet 4. juni 2009 Del Skrevet 4. juni 2009 Noen som har noe å si om ISP'er som bruker de tre private blokkene til eget nett? Da mener jeg at de ruter dem og ikke bare bruker dem. Det er bare en ting å si - de (ISP'er som bruker private ip blokker på en slik måte at kundene deres "ser" disse nettene) gjør det vanskelig for seg selv. - de gjør ingenting ulovlig (nettet til ISP'en er jo et privatnett, og ikke Internett) - de har sannsynligvis en rotete nettstruktur (du beskriver at en traceroute går innom flere private og offentlige ip-ranger) - de kommer til å få flere support henvendelser pga ip-konflikter, ettersom nettverkutstyr for SOHO markedet nesten uten unntak har RFC1918 adresser som default. Lenke til kommentar
Shibiz Skrevet 4. juni 2009 Del Skrevet 4. juni 2009 Ja jeg kan si at det er en stor glipp. Nysgjerrig på hvilken ISP dette kan være. Kan du sende det pr PM? Lenke til kommentar
Tedd Skrevet 5. juni 2009 Forfatter Del Skrevet 5. juni 2009 Det er bare en ting å si - de (ISP'er som bruker private ip blokker på en slik måte at kundene deres "ser" disse nettene) gjør det vanskelig for seg selv.- de gjør ingenting ulovlig (nettet til ISP'en er jo et privatnett, og ikke Internett) - de har sannsynligvis en rotete nettstruktur (du beskriver at en traceroute går innom flere private og offentlige ip-ranger) - de kommer til å få flere support henvendelser pga ip-konflikter, ettersom nettverkutstyr for SOHO markedet nesten uten unntak har RFC1918 adresser som default. Jupp... Vet at det ikke er ulovelig... men er jo utrolig dårlig planlagt og vedlikeholdt. Routing er til tider uoversiktelig og forvirrende... bare les litt om BGP routing.... Fungere suverent, men en feil og det svir.... Jeg driver å labber litt her hjemme på disse adressene så... ja.. Fikk tilbakemelding fra ISP om at de skal sette opp filtrering så disse ikke blir anonsert ut... Tedd Lenke til kommentar
Tedd Skrevet 11. juni 2009 Forfatter Del Skrevet 11. juni 2009 OK... Tid for en oppdatering... ISP det gjelder er: Vikenfiber/Lyse... Se på denne tracerouten fra mitt localnett... Tracing route to 192.168.62.217 over a maximum of 30 hops 1 <1 ms <1 ms <1 ms 10.x.x.x 2 10 ms 6 ms 1 ms 1.79-160-170.customer.lyse.net [79.160.170.1] 3 <1 ms <1 ms <1 ms 157.81-167-209.customer.lyse.net [81.167.209.157] 4 <1 ms <1 ms <1 ms 137.81-166-123.customer.lyse.net [81.166.123.137] 5 10 ms 9 ms 9 ms 222.81-166-123.customer.lyse.net [81.166.123.222] 6 11 ms 10 ms 10 ms 10.255.2.178 7 11 ms 11 ms 11 ms 26.81-167-247.customer.lyse.net [81.167.247.26] 8 11 ms 11 ms 11 ms 192.168.62.217 Trace complete. Snakk om et rotete nett? Litt lett blanding ? De ga meg en tilbakemelding... muntelig vel og merke... at det skulle fikses... Håper det... Tedd Lenke til kommentar
Shibiz Skrevet 11. juni 2009 Del Skrevet 11. juni 2009 (endret) Jeg vil nok gå ut ifra at NOC ikke har lagt merke til det, eller ikke fått beskjed. Burde ha gått en alarm hos dem nå ... Skjer vel ikke noe før noen begynner å utnytte dette. Du kan ta kontakt med Lyse sin abuse avdeling, de tar nok dette på litt mer alvor. abuse-mailbox: [email protected] Endret 11. juni 2009 av Shibiz Lenke til kommentar
Knopfix Skrevet 11. juni 2009 Del Skrevet 11. juni 2009 Tracing route to 192.168.62.217 over a maximum of 30 hops 1 <1 ms <1 ms <1 ms 192.168.10.1 2 4 ms 6 ms 8 ms x.81-167-x.customer.lyse.net [81.167.x.x] 3 1 ms <1 ms <1 ms 149.81-167-208.customer.lyse.net [81.167.208.149 ] 4 10 ms 1 ms 1 ms 129.81-167-208.customer.lyse.net [81.167.208.129 ] 5 9 ms 9 ms 9 ms 222.81-166-123.customer.lyse.net [81.166.123.222 ] 6 10 ms 10 ms 10 ms 10.255.2.178 7 10 ms 10 ms 10 ms 26.81-167-247.customer.lyse.net [81.167.247.26] 8 10 ms 10 ms 10 ms 192.168.62.217 Lenke til kommentar
nomore Skrevet 11. juni 2009 Del Skrevet 11. juni 2009 Sporer rute til 192.168.62.217 over maksimalt 30 hopp 1 1 ms 1 ms 1 ms 1.81-166-77.customer.lyse.net [81.166.77.1] 2 1 ms 1 ms 1 ms 181.81-167-33.customer.lyse.net [81.167.33.181] 3 1 ms 1 ms 1 ms 157.81-166-126.customer.lyse.net [81.166.126.157] 4 1 ms 1 ms 1 ms 26.81-167-247.customer.lyse.net [81.167.247.26] 5 1 ms 1 ms 1 ms 192.168.62.217 Søking fullført. Lenke til kommentar
bjokys Skrevet 24. juni 2009 Del Skrevet 24. juni 2009 (endret) I og for seg er det rotete, men ikke ett nødvendigvis ett problem, så lenge de ikke annonserer disse nettene videre til andre AS'er. Strengt tatt burde de kjøre sine RFC1918-nett i egne VRF'er, men det er godt mulig det er noe gammelt rask som henger igjen, f.eks. managmentnett, eller at de bruker private addresser på linknett (ikke så uvanlig, dersom man ønsker å spare på den tildelte "blokka"). Det lager nok ikke problemer for SOHO-rutere så lenge disse får tildelt offentlige addresser. Normalt sett så skal ikke disse rutes nei. Hva med 172.16.x.x til 172.31.x.x-nettet? Rutes det også?Jeg kan se for meg ganske mange problemer når private ip-ranger rutes. Hvilken ISP har du? Forresten så jeg på et sykehus her for litt siden noe like idiotisk. De brukte offentlige ip-er på sitt interne nett. Tja, dersom de brukte addresser en Bogon-range skaper det ikke noen større problemer enn at de evnt. må omaddressere hele nettet sitt dersom det blir allokert. Idioti, men fullt lovlig. Sikker på at det ikke var en slik addresserange de brukte? Endret 25. juni 2009 av bepe86 Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå