¿Esta asignación de dirección IP de ISP es una vulnerabilidad?

6

Usar un enrutador con puente para que pueda establecer la configuración de IP directamente en el servidor de la puerta de enlace. Tenemos dos enrutadores de este tipo para dos IP diferentes (necesitábamos una IP secundaria, pero el ISP solo la proporcionó a través de una nueva suscripción ... Lo sé, ¿no?).

Estas son líneas de Internet que ya no estamos usando después de dos períodos de inactividad de 20 a 24 horas (culpa del ISP) y esperando que el ISP las deshabilite (ya han pasado dos meses).

La semana pasada, verifiqué si Internet estaba deshabilitado en un enrutador (cable en la computadora portátil y configuración manual) y había perdido la configuración del puente; esto ocurrió antes, funciona solo en la configuración automática. Luego probé la configuración manual en el 2do enrutador y funcionó como se esperaba: el puente funciona.

Luego tuve la idea de probar la IP pública del primer enrutador en el segundo. Y funcionó sin problemas. Después de verificar nuevamente para asegurarme de haberlo visto correctamente, probé 3 IP más del mismo rango (no la nuestra esta vez, pero por el poco tiempo necesario para probar que funcionó) y funcionó de la misma manera. Podría asignar casi cualquier IP pública a mi computadora portátil a través del módem con puente.

¿No es este un problema de seguridad? Probablemente un problema de configuración débil que resulte en un problema de seguridad.

Pensé que las IP públicas deberían estar vinculadas a la dirección MAC del módem o algo así.

¿Debo informar esto? Este es un ISP importante en mi país, pero la experiencia previa mostró su alto nivel de incompetencia, por lo que creo que es inútil decírselo.

    
pregunta Denis.C 06.03.2017 - 11:42
fuente

2 respuestas

1

Supongo que esto es un ISP de cable DOCSIS. Puede ser un problema de seguridad. Es como tener un conflicto de direcciones IP en una LAN. El cable DOCSIS puede usar ARP como una LAN. Si esa dirección IP que asignó también está siendo utilizada por otro host en la red, ese otro host perderá conectividad mientras su host esté funcionando. Puede alojar servicios que engañan a los usuarios para que se conecten con usted en lugar de con el otro host, o puede obtener algunos paquetes entrantes destinados al otro host.

Una preocupación mayor es si la privacidad de línea de base (cifrado) está habilitada en la red de cable. Si no lo es, entonces este problema probablemente no sea importante en comparación con eso.

    
respondido por el Alex Cannon 21.01.2018 - 16:44
fuente
0

Lo que está pasando técnicamente es simple Anuncio ARP . El propósito general del Protocolo de resolución de direcciones es permitir a los usuarios anunciar qué dirección L2 (MAC) corresponde ahora a su dirección L3 (IP).

Desde el punto de vista de la ingeniería de red, es bastante conveniente, ya que es posible que desee cambiar su enrutador en algún momento, y de esta manera no tendrá que molestar al soporte técnico de su ISP para actualizar una dirección MAC en sus políticas.

A continuación, está en una red L2 con su proveedor, conectado por cable, es probable que los eventos ARP se estén registrando y, en caso de que cause un tiempo de inactividad para otro cliente, lo localizarán fácilmente. La mayoría de los proveedores de Internet no consideran esta amenaza en serio.

Por supuesto, siempre existe la posibilidad de un error humano, y configurar una VLAN dedicada para cada cliente y aplicar un conjunto de direcciones que podrían estar presentes en cada VLAN es mejor y evita posibles problemas de conectividad para todos los clientes en caso de que uno de ellos está equivocado, pero también significa más trabajo para el CON del ISP. Por lo tanto, generalmente depende de la cantidad de conectividad ininterrumpida que su ISP garantiza en su Acuerdo de nivel de servicio.

Como su antiguo ISP se permite un tiempo de inactividad de 24 horas, puedo entender que su SLA es bastante débil. Esperamos que su nuevo ISP prometa una mejor entrega (aunque probablemente le cueste más).

    
respondido por el ximaera 15.01.2018 - 04:50
fuente

Lea otras preguntas en las etiquetas