Jump to content

Auswirkungen nicht RFC-konformer IP-Adressbereiche im LAN?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

kennt Ihr das auch: ich treffe in "gewachsenen" Netzwerkstrukturen des öfteren auf ebenso phantasielos wie falsch konfigurierte Netzwerkadressen, z.B. 100.0.0.0/8 oder 123.123.123.0/24 im LAN?

 

Ich suche nach überzeugenden Argumenten, solche Netze in private Adressbereiche zu verlegen. Sowas kann ja recht aufwendig sein.

 

Jetzt ist mir schon klar, dass es da Probleme geben muss, weil diese Adressen nicht in den RFC-konformen "privaten" Adressbereichen liegen und deshalb vielleicht auf den Rootservern im Internet für jemand reserviert sind. wie sehen diese Probleme aber konkret aus?

 

Mir fällt da derzeit nur ein Szenario ein, in dem der "illegale" Adressbereich für eine Zone auf einem internen DNS-Server eingetragen ist und zufällig das Zielnetz im Internet die gleiche Netzwerkadresse hat. Dann wird der interne DNS-Server die DNS-Anfrage zwar weiterleiten, bekommt aber von einem externen DNS-Server eine IP-Adresse als Zieladresse, die für eine Zone des internen Netzes gilt. Diese Adresse wird falsch geroutet, und die Anfrage schlägt fehl.

 

Kennt ihr da noch andere Szenarien, vielleicht auch wegen der Netzwerksicherheit?

 

Gruß, JoeSan

Link to comment
Mir fällt da derzeit nur ein Szenario ein, in dem der "illegale" Adressbereich für eine Zone auf einem internen DNS-Server eingetragen ist und zufällig das Zielnetz im Internet die gleiche Netzwerkadresse hat. Dann wird der interne DNS-Server die DNS-Anfrage zwar weiterleiten, bekommt aber von einem externen DNS-Server eine IP-Adresse als Zieladresse, die für eine Zone des internen Netzes gilt. Diese Adresse wird falsch geroutet, und die Anfrage schlägt fehl.

Genau da liegt der Hund begraben, aber nur da. Es gibt sonst weder Sicherheitsbedenken oder andere "Unannehmlichkeiten". Beim Einsatz von VPN und Adressvergabe per DHCP durch den RAS-Server kann es natürlich weitere Verbindungsschwierigkeiten geben. Aber ansonsten....

Link to comment

Hi JoeSan,

schön, daß Du wieder mal vorbeischaust ! :)

 

Ein sicherheitsrelevantes Szenario fällt mir da ein:

Die höheren Etagen sind ja meist mit Notebook unterwegs, in der Firma über LAN/WLAN, im Hotel über ISDN oder sonstwas.

Angenommen, der Admin soll eine Personal Firewall auf dem Notebook des Geschäftsführers installieren. Da dürfte er mit den öffentlichen Adreßräumen für das FirmenLan einige Probleme bekommen. Er müßte dann diesen Adreßraum als vertrauenswürdig einstufen. Wenn der GF dann mal wieder im Hotel surft, ist dann ziemlich viel offen ! ;)

Link to comment

Hi,

 

eine andere Sicherheitsüberlegung:

private IPs sind in der Regel aus dem Internet nicht zugreifbar. Spätestens an der Firewall (NAT) sollte "aus die Maus" sein.

 

Besonders ärgerlich wird es, wenn halt auf eine URL zugegriffen wird, die in dem zugewiesenen öffentlichen IP-Adresskreis liegt, dann passiert nämlich gar nix mehr. Und RFC-konform dürfte das Ganze auch nicht sein.

 

Grüße

Olaf

Link to comment

Bisher gings mir mit dieser Frage wie Euch auch: Ich überlege und spekuliere, aber wie sich das genau auswirkt, weiß ich eigentlich nicht, obwohl es mir täglich begegnet. So konnte ich bisher kaum einschätzen, welche Priorität das Umkonfigurieren solcher Netze hat.

 

Ich kann an einem Router, für den ich als Administrator zuständig bin, eben auch eine Route in ein lokales Subnetz eintragen, dessen Netzwerkadresse aus dem öffentlichen Adressbereich stammt. Auch meine internen DNS-Server, die ich spätestens für Active Directory benötige, und auch meine Firewall kann ich so falsch konfigurieren, wie ich will. Für mein lokales Firmennetz funktioniert dann alles ganz prächtig, aber sobald bestimmte Anfragen an das Internet gestellt werden, kann es die bereits geschilderten Probleme geben.

 

Jetzt bin ich aber schon schlauer... :wink2:

 

Das mit der Personal Firewall auf dem Notebook leuchtet mir ein, wenn über ISDN durchs Internet ein VPN aufgebaut wird, dann ist die öffentliche IP im Internet wohl "sichtbar", Bei RAS-Einwahlverbindungen ist das Problem dann relevant, wenn z.B. gleichzeitig eine zweite Netzwerkverbindung mit dem Internet besteht.

 

Gruß, JoeSan

Link to comment
Original geschrieben von Joee DANCER

Normal werden solche falsch Adressierte Netze hinter einem Router verborgen der Masquerade fährt. Somit bekommt das I-Net

gar nicht mit das es doppelte IP`s gibt.

Einspruch:

1.) Was ist normal?

2.) JoeSan schreibt nix von NAT.

 

Aus anderen Gründen nehme ich zwar auch an, dass deine Aussage hier im Speziellen zutrifft, aber immer kannst du dir da nicht sicher sein.

 

Grüße

Olaf

Link to comment

Normal heißt das kein privates Netzwerk direkt am I-Net hängt und das aus diesem Grund Maskiert wird.

Über die NAT-Firewall werden die Zugriffsmöglichkeiten auf das an dem Internet Gateway angeschossenen Netzwerk minimiert, da das gesamte Netzwerk nur über eine einzige IP-Adresse im Internet dargestellt wird.

Sollte auf jedem Router laufen der ins I-Net routet,eben aus den hier diskutierten Gründen.

 

Gruß Joee

Link to comment

Also Thema NAT:

Klar, viele Firmennetze haben eine oder mehrere öffentliche IP-Adressen offiziell reserviert. Damit kann man in der DMZ einen VPN- oder Web-Server realisieren und diese Server und ganze interne Netze über NAT an das Internet anbinden. Oder man braucht die IP nur für ausgehende Verbindugen wie mail über PoP3 oder http per NAT und bekommt diese dynamisch zugewiesen.

 

Ein ganz unwahrscheinlicher Fall könnte dann doch eintreten, wenn der ISP mir zufällig Adressen aus dem Bereich zuweist, der schon fälschlicherweise für mein internes Netz konfiguriert ist, z.B.

Internes Netz: 123.123.123.0/24

Vom ISP zugewiesene öffentliche IP für NAT (statisch oder dynamisch) z.B.: 123.123.123.123.

 

Dann kann nicht mehr geroutet werden, keiner kommt ins Internet und mails können nicht mehr abgeholt werden. Trotz NAT, oder?

 

Oder wenn zufällig ein anderer ISP diese Adresse einem Zielnetz für NAT zugeordnet hat, das ich aus meinem Netz mit der gleichen Netzwerkadresse erreichen will. Dann kommt wieder das DNS-Problem zum Tragen und das Zielnetz kann trotz NAT nicht erreicht werden.

 

Das hat immer die gleiche Ursache, nämlich dass Qell- und Zielnetz die gleiche Netzwerkadresse haben, dann kann halt an irgendeiner Stelle nicht mehr geroutet werden, egal wie viele NATs dazwischen sind...

 

Gruß, JoeSan

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...