¿Cuáles son los riesgos de seguridad de usar esquemas de direcciones públicas para el DHCP de sus usuarios de VPN?

4

En la empresa donde trabajo, recientemente compramos una herramienta de escaneo de red para ayudar con el inventario de activos y la administración general de la red de PC. Mi supervisor, mientras observaba los diferentes rangos de direcciones IP para las diferentes oficinas, notó el rango 222.222.222.x en aproximadamente 30 máquinas. Llamamos al supervisor de TI en el sitio y se nos dijo que el rango de direcciones está configurado como el rango DCHP para los usuarios de VPN. Esto me parece un gran riesgo para la seguridad.

¿Cuáles son los riesgos relacionados con el uso de este rango de direcciones?

Las direcciones se utilizan públicamente en China, ¿cuáles son los riesgos asociados con esto?

¿Esto nos abre como un objetivo más fácil para el ataque?

    
pregunta Eddie Studer 15.03.2016 - 15:03
fuente

1 respuesta

2

No agrega ningún riesgo importante.

El hecho de que el rango sea público (en comparación con el privado como 10.0.0.0/8) no cambia mucho, ya que los intentos de contactarlo desde el exterior (desde un atacante, por ejemplo) todavía terminarán yendo al propietario legítimo de el bloque de IP.

Además, una red bien configurada debe tener un firewall que bloquee el acceso a esos clientes VPN desde el exterior si los paquetes logran llegar a la red por alguna razón.

El único problema podría ser si el propietario legítimo del bloqueo de IP es malicioso y configura servicios maliciosos en esas IP, y de alguna manera sus usuarios intentan acceder al rango de VPN de su compañía, pero en vez de eso, terminan accediendo a las IP reales que son maliciosas ( si por ejemplo su VPN se cae).

Sin embargo, es una práctica muy mala, ya que ahora esos clientes VPN no pueden ponerse en contacto con la subred 222.222.222.0/24 "real" y, dependiendo de cómo esté diseñada la red, podría ser que la red completa de la compañía no pueda alcance 222.222.222.0/24, o que algunas computadoras de la compañía alcancen el 222.xxx real en lugar de llegar a los clientes de VPN.

Consiga que la compañía adquiera / alquile más bloques de IPv4 para sus clientes de VPN, o use direcciones privadas (y NAT para v4) y muévase a IPv6 para todo lo demás.

    
respondido por el André Borie 16.11.2016 - 21:22
fuente

Lea otras preguntas en las etiquetas