Portál AbcLinuxu, 26. dubna 2024 12:29


Dotaz: 192.168.1.1 na veřejné síti?

12.9.2010 18:35 olda5 | skóre: 3
192.168.1.1 na veřejné síti?
Přečteno: 28351×
Odpovědět | Admin
Zdravím,

dneska jsem si všimnul zajímavé věci. Domácí síť mám za NATem (rozsah 192.168.2.0), od providera mám adresu rovněž z privátního rozsahu 10.27.0.0. Trochu jsem si doma hrál se serverem a jedním plonkovým routerem, takže jsem spustil příkaz

nmap -F -T5 192.168.1.*

a našlo mi to i úplně cizí stroj s adresou 192.168.1.254. Zkusil jsem odpojit svůj pokusný router, který svým rozsahem (192.168.1.0) nejspíš s něčím kolidoval, a zjistil jsem, že je jinde dostupný ještě jiný stroj s toutéž adresou... mám tedy dostupné dvě adresy 192.168.1.1 a 192.168.1.254 (jak jsem pochopil, jsou určený za NAT) ovšem za NATem zřejmě nejsou? V prohlížeči po zadání http://192.168.1.1/ naběhne testovací stránka Apache, bežícího na CentOS, což na 100% není nic mého :-)

traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 52 byte packets

1 192.168.2.1 (192.168.2.1) 1.257 ms 1.099 ms 1.076 ms

2 ul_vanovska_175.amigonet.cz (10.27.58.1) 3.818 ms 2.976 ms 3.005 ms

3 85.193.4.53 (85.193.4.53) 3.106 ms 2.961 ms 4.294 ms

4 217.117.213.49 (217.117.213.49) 7.310 ms 6.006 ms 5.650 ms

5 78.108.176.49 (78.108.176.49) 7.094 ms 6.451 ms 5.979 ms

6 192.168.1.1 (192.168.1.1) 10.770 ms 8.492 ms 6.917 ms

Co si o tom můžu myslet? Někde někdo zapojil stroj s touhle adresou do veřejné sítě? Je to možné/běžné? Nebo je to normální a on zase může pingat mě? Nejsem profík, ale myslel jsem, že tohle by možné být nemělo...

Firewall tam očividně nemá, otevřený má snad úplně všechno, ale asi sem nebudu posílat kompletní výpis nmapu... ;-)
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

12.9.2010 19:21 Alf
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Odpovědět | | Sbalit | Link | Blokovat | Admin

Traceroute je docela pěkný :-D. No správně to určitě není. Pravděpodobně router 78.108.176.49 má někde připojenou větev s rozsahem 192.168.1.0/něco či podobně. Daleko by se to dostat nemělo, někde se najde router, který to odfiltruje.

Každopádně stává se to. Občas mi na server, který je v serverovně připojen pouze do veřejné sítě, připlujou pakety z privátních rozsahů. Samozřejmě je toto špatně a může se taky jednat o útok. Není problém tyto pakety blokovat přímo na firewallu.

12.9.2010 20:15 NN
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Spise je kupodivu, ze se to dokazalo zpropagovat pres 2 providery..

NN
12.9.2010 20:33 Alf
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?

Ono když dneska kde kdo provozuje WiFi a říká si ISP, tak to není problém. Pak chceš veřejnou IP a ve výsledku se k tobě dostane několikrát NATovaná, atd.

Jinak, jak nás učili. Privátní rozsahy do internetu nepatří a nejbližší router to zablokuje. A to, že je realita jiná, to už nikoho nezajímá :-D

Zkuste napsat dotyčnému ISP, zajímá mě odpověď :).

12.9.2010 21:44 olda5 | skóre: 3
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Napsat jim o tom samozřejmě můžu, až mi odpoví, dám to sem :-)
13.9.2010 20:20 olda5 | skóre: 3
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Volal mi dnes od nich technik; co se prý týče jejich společnosti, tak se nestarají o to, aby se na routerech zahazovaly pakety z nepříslušných rozsahů, čili tyto pakety spadají do defaultní 0.0.0.0/0 routy... v mém případě se to teda dostalo až na nix do prahy, a pak někam dál bůhvíkam bůhvíkekomu :D
17.9.2010 07:06 tomfi
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Cool odpověď :D Takže opravdu provider spadá do těch "kde kdo provozuje WiFi a říká si ISP".
13.9.2010 17:08 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Privátní rozsahy do internetu nepatří a nejbližší router to zablokuje.
Router nemůže nic blokovat, blokuje vždy firewall. A IMHO na nastavení firewallu ohledně těchto adres žádné oficiální pravidlo (ala RFC) není.

IMHO správná odpověď na traceroute na privátní adresu by měla být buď to co vidíme v tazatelově případu (tj. úspěšné protrasování, viz níže) nebo !N (network unreachable) protože jednoduché routery s defaultní cestou budou paket přeposílat, zatímco páteřní routery s BGP nebudou mít pro privátní síť cestu.

Ale většinou je odpověď * (timeout) protože to právě cíleně blokují buď proto že to vede někam k nim nebo se řídí tím Vaším pravidlem.

Mít možnost se dotrasovat až k živému stroji na priv. síti ale není IMHO zas takový problém. Z hlediska síťového se router chová správně - priv. rozsahy jsou normální IP, akorát u nich není zajištěna jednoznačnost. Z hlediska bezpečnosti je otázka: jestli si to cílové PC umí ohlídat svou bezpečnost samo za sebe, tak že se dostanete až na něj problém není. Obecně je to lepší bezpečnostní politika než "na perimetru natvrdo zaříznout privátní rozsahy a doufat že se dovnitř nikdo nedostane".

In Ada the typical infinite loop would normally be terminated by detonation.
13.9.2010 17:38 VSi | skóre: 28
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Router nemůže nic blokovat, blokuje vždy firewall. A IMHO na nastavení firewallu ohledně těchto adres žádné oficiální pravidlo (ala RFC) není.
Router teoreticky může "blokovat". A to tak, že příslušné IP rozsahy bude routovat na interface odpovídající /dev/null

Jinak myslím, že RFC 1918 se o těchto adresách a chování routerů zmiňuje. Dokonce snad tak, že na rozhraní s veřejnou IP adresou je korektní zahazovat pakety přicházející z privátních rozsahů. Jegnou jsem to řešil, protože od našeho ISP jsme měli na rozhraní routeru veřejnou adresu, ale on ve své síti pro jiné zákazníky používal 192.168.1.X, a my v interní síti taky. Takže tihle jeho zákazníci se pak na naše servery nemohli dostat, nehledě na to, že na logy z firewallu pak člověk kouká divně a hledá kde je chyba.
13.9.2010 19:46 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Router nemůže nic blokovat, blokuje vždy firewall. A IMHO na nastavení firewallu ohledně těchto adres žádné oficiální pravidlo (ala RFC) není.
Router teoreticky může "blokovat". A to tak, že příslušné IP rozsahy bude routovat na interface odpovídající /dev/null

Jo to je taková šedivá oblast. Ale asi bych to sejně nazval firewallem i když je implementovaný pomocí routovací tabulky. Důležitý je vždy účel, ne technologie.

Jinak myslím, že RFC 1918 se o těchto adresách a chování routerů zmiňuje. Dokonce snad tak, že na rozhraní s veřejnou IP adresou je korektní zahazovat pakety přicházející z privátních rozsahů.
   It is strongly recommended that routers which connect enterprises to
   external networks are set up with appropriate packet and routing
   filters at both ends of the link in order to prevent packet and
   routing information leakage. An enterprise should also filter any
   private networks from inbound routing information in order to protect
   itself from ambiguous routing situations which can occur if routes to
   the private address space point outside the enterprise.
Tohle je dost vágní a jediné co z toho má smysl je to o tom filtrování routovacích cest. Což by se mělo dělat bez ohledu na rozsahy :)

Vím že hodně lidí prostě privátní adresy zvenku zahazuje a naopak ale myslím si že to není stavební kámen ničeho jen taková zvyklost.
In Ada the typical infinite loop would normally be terminated by detonation.
vencour avatar 12.9.2010 20:09 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Odpovědět | | Sbalit | Link | Blokovat | Admin

A nemáš tam někde nějakej tunel? Jakou máš routovací tabulku, je tam ten rozsah nebo defaultka? Kdybys měl spojení lan to lan, tak to neni nic divnýho. Přijde mi to na lameřinu od ISP, že nechává takhle vnitřní adresní prostor otevřený.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
12.9.2010 21:56 olda5 | skóre: 3
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
tunel? o ničem takovém nevím :-) routovací tabulku mám defaultní:

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

192.168.2.0 * 255.255.255.0 U 303 0 0 wlan0

default 192.168.2.1 0.0.0.0 UG 0 0 0 wlan0

Dokud jsem si tu hrál s tím svým routerem, tak nebylo rozeznat, že 192.168.1.254 je úplně někde jinde, myslel jsem si, že se mi někdo napíchnul na wifi... když jsem ho odstavil, tak jsem zjistil, že je takto dosažitelná i cizí 1.1, a pak jsem zkusil ten traceroute a bylo mi jasný, že to je někde jinde...
the.max avatar 12.9.2010 23:03 the.max | skóre: 46 | blog: Smetiště
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Odpovědět | | Sbalit | Link | Blokovat | Admin
kristova noho amigonet:-DDD

Ne ted vazne. privatni rozsahy NEMUSI byt pouze za NATem, muze je pouzivat i velky provider na sve pateri pro ruzna zarizeni kvuli managementu (ne vzdy je nutne mit na kazdem switchi verejnou IP). Pak je ale dobre, aby na 'hranicnim' routeru, byli tyto neverejne adresy zadrzeny a necestovali dal. To zrejme u Amigonetu neznaji (coz me ani neprekvapuje). Prekvapilo me, ze to nezkoncilo ani u Losanu (zrejme konecne poradne oddelili site a neni to jako pred lety), ale proslo to jeste dal:-D

Kazdopadne, pokud jsou nejakym routerem propojene 2 site a nedohodnou-li se jinak, meli by se na tomto routeru proste zahazovat/blokovat vsechny neverejne IP ktere by se snazili projit cestou na nasledijici default gw.
KERNEL ULTRAS Fan Team || Sabaton - nejlepší učitel dějepisu || Gentoo - dokud nás systemd nerozdělí.
13.9.2010 20:24 olda5 | skóre: 3
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
nj Amigonet no :-D snad u nich taky nejsi? :-D
the.max avatar 14.9.2010 18:47 the.max | skóre: 46 | blog: Smetiště
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
nn, ja jsem pripojen od sve vlastni firmy:-D (nebudu si delat reklamu, ale jsme ze vseboric, ale ve vanove taky mame APcka)
KERNEL ULTRAS Fan Team || Sabaton - nejlepší učitel dějepisu || Gentoo - dokud nás systemd nerozdělí.
13.9.2010 09:03 Zdenek
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Odpovědět | | Sbalit | Link | Blokovat | Admin
No a tady priznivci NATu jako bezpecnostniho reseni krasne vidi jak je to naprd, kdyz neni spravne nastaven firewall :-)
13.9.2010 17:31 VSi | skóre: 28
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Pokud ty privátní adresy používají např. na správu síťových zařízení, nikde tam vůbec žádný NAT být nemusí. NAT není jediné využití těchto adresních rozsahů. Jinak téma NAT a bezpečnost již bylo rozebráno tolikrát, že kdo to nechápe, nemá cenu mu to opakovat. Na druhou stranu - pokud bude správně nastaven firewall bez NATu, tak pro stroje za firewallem to bude vypadat dosti podobně (neříkám, že stejně) - nepůjde navázat spojení zvenku, takže tam ten NAT velmi často nakonec ničemu neuškodí.
14.9.2010 06:27 Ash | skóre: 53
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
??? =:-O
14.9.2010 08:43 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
pokud bude správně nastaven firewall bez NATu, tak pro stroje za firewallem to bude vypadat dosti podobně (neříkám, že stejně) - nepůjde navázat spojení zvenku
Pokud bude ten firewall nastaven správně, nepůjde navázat spojení z venku – u NATu ale možná nějakým způsobem z venku spojení navázat půjde, a správce pokládající NAT za náhradu firewallu o tom nebude vědět.
vencour avatar 14.9.2010 09:03 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?

Navíc slušnej firewall zahodí paket se zdrojovou adresou, kterou má/zná na jiném interfejsu.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
14.9.2010 09:10 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Možná slušný firewall v malé síti s jednou konektivitou. Jinde ale může být úplně normální, že pakety z nějaké sítě přijdou jinudy, než kudy je já sám do té sítě odesílám.
14.9.2010 14:12 Sten
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Slušný firewall tohle právě nedělá (je pravda, že ve Windows jsem takový firewall ještě neviděl). Až někdy postavíte redundatní spojení s Quaggou nebo si jenom koupíte dvě připojení k internetu a pomocí iptables na ně hodíte rozkládání zátěže, takže každý paket může odejít i přijít z kteréhokoliv vnějšího rozhraní, pochopíte proč
16.9.2010 12:45 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
To je dobra blbost. Tenhle filtr se prave v routovanych a zakruhovanych sitich vypina.
www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
vencour avatar 16.9.2010 12:56 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?

Pak napovim ... anti-spoofing firewall.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
16.9.2010 20:13 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Ten link neukazuje na nic zajímavého. Na základě pozorování si začínám myslet, že lidi argumentující o bezpečnosti odkazama na google neví o bezpečnosti ani hovno.
In Ada the typical infinite loop would normally be terminated by detonation.
vencour avatar 16.9.2010 20:55 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?

Buď neumíte anglicky, neumíte hledat a selektovat informace nebo nerozumíte základním pojmům. Abych oplatil stejnou mincí.

Jelikož vim, co chci říct a na první stránce toho výsledku hledání to vidim jasně, tak považuju svou odpověď za dostačující.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
16.9.2010 21:34 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Buď neumíte anglicky
Když anglicky tak proč nás posíláte na google.cz?
na první stránce toho výsledku hledání to vidim jasně
Myslíte tenhle blábol na dobrou noc? ;) Tak tomu nevěřte. Jak říkám - ty odkazy nevedou na nic zajímavého.
In Ada the typical infinite loop would normally be terminated by detonation.
vencour avatar 16.9.2010 21:47 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?

Budiž.

Link 1

Link 2

Link 3

Link 4

Link 5

A to jsem teprve v půlce stránky ... mimochodem, není to technologie dostupná pouze u jednoho výrobce.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
17.9.2010 06:39 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Takže jste mi poslal 5 odkazů do nějakých diskusí, ale co se snažíte říct? Že existuje možnost blokovat pakety se "špatnou" zdrojovou adresou? Ano existuje. Že je to dobrý nápad? Možná, podle typu sítě. Ale problém spoofování to neřeší, jen odsouvá. Pokud takový filtr někdo prodává jako anti-spoofing tak to není známka slušného výrobce ale třeba výmluva pro předražený produkt.
In Ada the typical infinite loop would normally be terminated by detonation.
vencour avatar 17.9.2010 09:00 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?

Vy jste našel jeden blábol na celé stránce. Já pět odkazů v půli stránky, pět takových, které se týkají zmiňované problematiky.

Buď si děláte srandu nebo jste malé dítě.

Jestli Vám to přijde jako výmluva na předražený produkt, tak nevim. Asi Vás to nezajímá, že si nenajdete něco víc.

Klidně se bavte, já jdu dělat.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
17.9.2010 05:28 Ash | skóre: 53
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Když anglicky tak proč nás posíláte na google.cz?

Někdy mám pocit, že si místo argumentů děláš z lidí srandu :)
17.9.2010 06:39 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Tak ještě bych mohl brečet...
In Ada the typical infinite loop would normally be terminated by detonation.
14.9.2010 12:22 VSi | skóre: 28
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Tu druhou část mého příspěvku berte jen jako takové rýpnutí, a nějak jsem to zamotal. Máte pravdu. Mělo to být srovnání stavu [NAT+firewall] a [samotný firewall]. [NAT bez firewallu] je obvykle nebezpečná blbost.
14.9.2010 13:06 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Jeste vetsi zabava je kdyz provider mixuje na jedne siti pro klienty verejne i neverejne IP. Pak je zcela bezne, ze mi na muj server s verejnou IP chodi zvenku pozadavky z privatnich adres. A nelze s tim udelat nic.

Zdenek
www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
14.9.2010 13:16 VSi | skóre: 28
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
To se mi stalo taky. Jde s tím dělat jediné - otravovat ISP s odkazem na RFC (i když tam tohle není úplně jednoznačné). Ta správná sranda nastane, když on používá v síti pro své klienty stejný rozsah, jako má člověk na vnitřním rozhraní serveru, nebo jinde ve vlastní interní síti. Pak se na server tihle klienti nepřipojí, což byl v mém případě zásadní problém.
poky74 avatar 17.9.2010 07:13 poky74 | skóre: 36 | blog: Zápisník | Vrchlabí
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?

To může způsobovat i dalekosáhlejší a mnohem závažnější problémy než jen že se pár lidí nepřipojí.

Chcete Linuxové samolepky nebo Tuxe na klíče? ->
22.8.2011 18:29 Karel
Rozbalit Rozbalit vše Re: 192.168.1.1 na veřejné síti?
Ale nenastane :) Zadny problem to neni a nikdo takovehle veci neresi, problem muze mit ten, ktery tento rozsah naroutuje do verejneho internetu. Pokud mate nastaveny dobre NAT, tak stanice za NATem vidi takovyhle vnitrni rozsah na verejne siti pouze v pripade, kdy sami nemaji tento rozsah :) takze to co pisete je jen takova male domaci zvykani :)

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.