Kirjoittaja Aihe: Sisäverkon osoitteiden reititys  (Luettu 2011 kertaa)

pata

  • Käyttäjä
  • Viestejä: 50
    • Profiili
Sisäverkon osoitteiden reititys
« : 10.04.14 - klo:17.59 »
Laitan kysymyksen tietoturvaan liittyen tälle alueelle koska en löytänyt sopivampaa aluetta.

Meillä on ollut pari viikkoa Saunalahden/Elisan Inteno kuitupäätelaite, jossa NAT, julkinen osoite 91.157.x.x.
Tarkoitus oli kokeilla nmap sisäverkkoon (192.168.100.0). Kuinka sattuikaan lipesi 192.168.100/24, yllätyin kun löytyi sisäverkon osoitteita.

$ nmap -sP 192.168.100/24

Starting Nmap 5.21 ( http://nmap.org ) at 2014-04-10 11:52 EEST
Nmap scan report for 192.168.0.17
Host is up (0.0032s latency).
Nmap scan report for 192.168.0.19
Host is up (0.0052s latency).
Nmap scan report for 192.168.0.20
Host is up (0.0037s latency).
Nmap scan report for 192.168.0.28
Host is up (0.0030s latency).
Nmap scan report for 192.168.0.29
Host is up (0.0033s latency).
Nmap scan report for 192.168.0.30
Host is up (0.0043s latency).
Nmap scan report for 192.168.0.33
Host is up (0.0034s latency).
Nmap scan report for 192.168.0.34
Host is up (0.0059s latency).
Nmap scan report for 192.168.0.35
Host is up (0.0033s latency).
Nmap scan report for 192.168.0.44
Host is up (0.0055s latency).
Nmap scan report for 192.168.0.45
Host is up (0.0045s latency).
Nmap scan report for 192.168.0.46
Host is up (0.0022s latency).
Nmap done: 256 IP addresses (12 hosts up) scanned in 3.12 seconds

Aika lailla hämmästelin mitä laitteita nämä ovat. Lisää laitteita löytyi 192.168.1.0 sisäverkosta jne.

$ sudo nmap -O 192.168.0.20
[sudo] password:

Starting Nmap 5.21 ( http://nmap.org ) at 2014-04-10 12:30 EEST
Nmap scan report for 192.168.0.20
Host is up (0.0023s latency).
Not shown: 999 closed ports
PORT   STATE    SERVICE
25/tcp filtered smtp
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: broadband router|router|switch|WAP
Running: Cisco embedded, Cisco IOS 12.X
OS details: Cisco 827H ADSL router, Cisco 870 router or 2960 switch (IOS 12.2 - 12.4), Cisco Aironet 1250 WAP (IOS 12.4)
Network Distance: 7 hops

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 9.22 seconds

Tämä on hämmentävää, 192.168.*.* osoitteita ei pitäisi reitittää kuidulle ja siitä eteenpäin, eihän?
Nuo reitittimien osoitteet eivät ole ihan niin kuin tavallisesti sisäverkon puolelta, tyyppiä 192.168.0.1.
Voin pingata naapurin reitittimiä sisäverkon osoitteilla

$ ping 192.168.0.34
PING 192.168.0.34 (192.168.0.34) 56(84) bytes of data.
64 bytes from 192.168.0.34: icmp_req=1 ttl=251 time=1.64 ms
64 bytes from 192.168.0.34: icmp_req=2 ttl=251 time=1.46 ms
64 bytes from 192.168.0.34: icmp_req=3 ttl=251 time=1.41 ms

$ mtr -r -c 10 192.168.0.20
HOST: pena                        Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 192.168.100.1              0.0%    10    0.5   0.5   0.5   0.7   0.1
  2.|-- espuus-es2--VPLS-38903.es  0.0%    10    3.4  52.8   2.1 473.5 147.9
  3.|-- ge5-0-0.esplva-p1.fi.elis  0.0%    10    1.3   4.2   1.0  32.5   9.9
  4.|-- ae0.esptnl-p2.fi.elisa.ne  0.0%    10    1.3   1.2   1.2   1.3   0.0
  5.|-- 9-1-1.helkaa1.fi.elisa.ne  0.0%    10    2.2   2.9   1.9   5.5   1.3
  6.|-- 172.19.186.22              0.0%    10    1.7   1.7   1.7   1.8   0.0
  7.|-- 192.168.0.20               0.0%    10    1.8   2.4   1.7   4.8   1.1

Näyttää siltä että pääsen noihin reitittimiin vain WAN puolelta eli ne vastaavat WANiin myös sisäverkon osoitteella?  Tietoturvan kannalta ei olisi ongelmaa.

pata

  • Käyttäjä
  • Viestejä: 50
    • Profiili
Vs: Sisäverkon osoitteiden reititys
« Vastaus #1 : 11.04.14 - klo:19.12 »
Olen tuumaillut tätä juttua, ei kai tuosta mitään vaaraa ole, vaikka aika outoa onkin. Inteno reititystaulukossa oletusreitti kai nakkaa kaikki muut kuin sisäverkon 192.168.100.0 paketit kuidulle. Jostain syystä Inteno ei tiputa 192.168.*.* paketteja. Ehkä ISP käyttää reitittimiensä hallintaan noita 192.168.0.* ja 1.* osoitteita.

Viikko sitten oli toinenkin ihmetyksen aiheen tässä Inteno:ssa: käynnistin Wireshark tietokoneessa ja se näytti että sisäverkossani 192.168.100.0 liikkui runsaasti ARP kyselyitä osoitteista 91.157 .*.*. Siis Inteno päästi nuo NATin läpi! Inteno oli siinä konfiguraatiossa missä se oli asennettu eli NAT takana 3 x ETH ja 1 x ETH sillattu.

Päätin muuttaa kaikki portit NAT taakse koska jos sieltä tuli ARP läpi niin voi tulla muutakin. Muodostin uuden porttien ryhmän ja siirsin kaikki portit siihen. ARP vilinä loppui siihen. Onkohan kaikki Intenot samanlaisia? Tietääköhän Elisa?