Risiken der internen Verwendung nicht privater IP-Adressen?

Meine Firma hat eine große Industriemaschine mit vielen vernetzten Geräten erhalten. Leider hat der verantwortliche Techniker einen öffentlichen IP-Adressbereich auf der Maschine verwendet. Ich bin in europa Der gewählte Adressbereich gehört einem US-amerikanischen Unternehmen. Nehmen wir an, es ist 143.166.0.0 (was eigentlich zu Dell gehört).

Nehmen wir an, ich verbinde die Maschine (vorerst) nicht mit unserem Firmen-LAN, aber ich verbinde meinen Laptop damit, um ein Gerät zu programmieren - sagen wir 143.166.0.1. Angenommen, mein Laptop-WLAN-Adapter ist mit dem Firmen-LAN und damit mit dem Internet verbunden. Jetzt habe ich zwei mögliche Routen zu zwei Geräten, die sich eine Adresse teilen. Die lokale, die ich möchte, und die Dell-Adresse.

Meine Frage lautet: "Wie besorgt sollte ich sein?" Was soll und würde in diesem Fall passieren? Ich vermute, dass der lokale Computer zuerst reagiert und ich möglicherweise davonkomme, aber irgendwann werde ich gebissen. Übrigens habe ich auch auf anderen Rechnern öffentliche IP-Adressen gesehen. Es scheint, dass die Ingenieure entweder die private Adressierung nicht verstehen oder nicht erwarten, dass ihre Maschine mit der Welt verbunden ist.

Irgendwelche Ideen / Kommentare? (das bedeutet keine Gewalt gegen den Maschinenbauer)?

Epilog

Wir haben ein interessantes Problem gefunden, das uns gezwungen hat, die IP-Adressen in privat zu ändern.

• Eines der Geräte auf dem Computer wird mithilfe einer ActiveX-Komponente über Internet Explorer programmiert. Dieses Gerät versucht, Daten an den ActiveX-Listener zu senden (anstelle des üblichen Browsermodus zum Anfordern von Daten von einem Remoteserver).
• Unsere Active Directory-Konfiguration lädt Sicherheitsrichtlinien bei der Anmeldung auf unsere Computer herunter. In der Richtlinie ist die Liste der vertrauenswürdigen Sites enthalten. Diese schließen ein:
  • Genehmigte Firmenadressen.
  • Diverse externe Adressen wie unsere Bank.
  • Privatadressen 192.168.0.0/16, 172.16.0.0/20 und 10.0.0.0/24.
  • Alles andere ist gesperrt.
• Aufgrund der Sicherheitsrichtlinie hat die ActiveX-Komponente niemals Daten empfangen, da der eingehende Datenverkehr durch die Sicherheitsrichtlinie blockiert wird!

Das hat mich gezwungen, die Adressen des Anbieters auf 172.16.0.0 zu ändern. Ich werde leichter schlafen.

Vielen Dank für das Interesse.

Kurze Antwort: Das Duplizieren von zugewiesenen öffentlichen Adressen ist eine schlechte Idee.

Etwas längere Antwort: Abgesehen von den Routing-Problemen kann nicht davon ausgegangen werden, dass Sie dieses Gerät niemals von einem anderen Ort als einem direkt angeschlossenen Kabel aus erreichen müssen oder dass die Zuweisungen von öffentlichen oder privaten Adressen statisch sind und sich niemals ändern .

Die Probleme mit dem Fernzugriff liegen auf der Hand: Das globale Internet glaubt, 143.166 / 16 sei an einem Ort, und Sie möchten, dass es an einem anderen Ort ist. Router werden nicht an Ihren Computer gesendet.

Und das Eigentum könnte sich ändern. Auch wenn diese Adresse Dell nicht zugewiesen wurde, könnte sie ihnen in Zukunft zugewiesen werden. Dell hat diese Adresse heute, aber möglicherweise morgen jemand anderes mit einer anderen Route. Wer weiß? Möglicherweise kauft Ihr Unternehmen diesen Adressblock sogar mit noch mehr Routing-Abenteuern.

Fazit: Gehen Sie nicht davon aus, dass doppelte IP-Adressen für immer geschützt werden können.

In Bezug auf das Routing würde Ihre kabelgebundene Schnittstelle die lokale Adresse der von Dell vorziehen. Ihre kabelgebundene Schnittstelle sendet eine ARP-Anfrage für diese Adresse und ruft sie direkt von der Industriemaschine ab, ohne dass ein Gateway erforderlich ist. Danach würden an diese Adresse gerichtete Pakete die Ziel-MAC-Adresse der Industriemaschine verwenden.

Dies funktioniert einwandfrei, wenn Sie nur ein Kabel für den Zugriff verwenden und diese Maschine nie von einem anderen Ort aus erreichen müssen und die globale Routingtabelle statisch bleibt.

Das ist viel Wenn. Sie sollten das Problem besser vermeiden, indem Sie entweder eine eindeutige öffentliche Adresse oder etwas aus dem privaten Adresspool verwenden.

Das einzige Problem wird die Unfähigkeit sein, mit den realen (Internet-) Maschinen mit diesen Adressen zu sprechen. Natürlich können Sie eine Firewall ("NAT-Box") zwischen Ihr Netzwerk und dieses Ding stellen, damit es für Ihr Netzwerk wie private Adressen aussieht.

Solche Dinge tauchen schon seit vielen Jahren überall auf, weil die Leute faul sind und "nicht zugewiesene" Adressen für ihre eigenen Zwecke verwenden. Jetzt, wo sie zugewiesen sind, ist dies ein kleines Problem.

[Bearbeiten: Für den Datensatz habe ich mein Heimnetzwerk nie neu nummeriert. Aber ich werde wahrscheinlich nie mit den Leuten sprechen müssen, die jetzt diesen Adressraum haben. 15 Jahre und Zählen ...]

Meine Frage lautet: "Wie besorgt sollte ich sein?" Was soll und würde in diesem Fall passieren? Ich vermute, dass der lokale Computer zuerst reagiert und ich möglicherweise davonkomme, aber irgendwann werde ich gebissen.

Nebenbei bemerkt, es geht nicht darum, wer zuerst antwortet. Wenn Sie Ihrem Computer eine Adresse im selben Subnetz zuweisen, wird der Datenverkehr direkt zum Computer geleitet, ohne dass Router beteiligt sind.

Auch wenn Sie Routing verwenden und auf einigen internen Routern in Ihrem Netzwerk eine Route bis 143.166.0.0/16 eingeben, wird diese Route der (Standard-?) Route zum Internet vorgezogen. Dies geschieht, weil die "längste Präfixübereinstimmung" bevorzugt wird, d. H. Die spezifischste Route wird ausgewählt.

Wenn Sie das Nettoergebnis korrigieren, ist der Teil 143.166.0.0/16 des Internets für Sie oder Ihr Netzwerk nicht erreichbar, wenn Sie die Route in Ihren internen Routern installieren. / 16 scheint für dieses Problem ein bisschen zu groß zu sein. Je kleiner das Subnetz ist, zu dem Sie weiterleiten, desto geringer ist die Wahrscheinlichkeit, gebissen zu werden.

Unten ist meine bearbeitete Antwort - die ursprünglich nicht ergab, dass es sich nicht um "besessenen" IP-Raum handelte, sondern um den Raum eines anderen.

Solange es dein Platz ist, spielt es keine Rolle. Eine IP-Adresse ist eine IP-Adresse. Ihre Anwendungen wissen nicht, was privat und was öffentlich ist. Wenn Sie über ausreichend Speicherplatz verfügen, sind möglicherweise sogar einige Subnetze "intern" und einige "extern" zugänglich - steuerbar mit den üblichen Routing-Steuerelementen, Firewalls usw.

Der gesamte öffentliche Raum im Inneren bedeutet, dass Sie sich keine Gedanken über NAT machen müssen, um in Ihr Netzwerk ein- oder auszusteigen.

Wenn es NICHT Ihr eigener IP-Bereich ist, sondern der eines anderen, kann es technisch funktionieren. Sie werden jedoch niemals in der Lage sein, ihren Speicherplatz ohne viel zusätzlichen Aufwand und zusätzliche Konfiuration zu erreichen - wie zum Beispiel Tunneling, NAT oder Double-NAT oder spezifischeres Routing. Es ist am besten, wenn Sie Ihrem Netzwerk schriftlich eine neue Adresse vorschlagen und detailliert beschreiben, wie es funktioniert, wie es verwaltet werden kann usw. Schreiben Sie es, und wenn es jemals Probleme gibt, können Sie Ihre E-Mail-Nachricht herausziehen ".

Die unten stehenden Abstimmungen stammen aus meiner ursprünglichen Antwort, in der ich die Frage falsch verstanden habe.

Vielen Dank an alle.