Auswirkungen nicht RFC-konformer IP-Adressbereiche im LAN?

[JoeSan 10]

Hallo,

 

kennt Ihr das auch: ich treffe in "gewachsenen" Netzwerkstrukturen des öfteren auf ebenso phantasielos wie falsch konfigurierte Netzwerkadressen, z.B. 100.0.0.0/8 oder 123.123.123.0/24 im LAN?

 

Ich suche nach überzeugenden Argumenten, solche Netze in private Adressbereiche zu verlegen. Sowas kann ja recht aufwendig sein.

 

Jetzt ist mir schon klar, dass es da Probleme geben muss, weil diese Adressen nicht in den RFC-konformen "privaten" Adressbereichen liegen und deshalb vielleicht auf den Rootservern im Internet für jemand reserviert sind. wie sehen diese Probleme aber konkret aus?

 

Mir fällt da derzeit nur ein Szenario ein, in dem der "illegale" Adressbereich für eine Zone auf einem internen DNS-Server eingetragen ist und zufällig das Zielnetz im Internet die gleiche Netzwerkadresse hat. Dann wird der interne DNS-Server die DNS-Anfrage zwar weiterleiten, bekommt aber von einem externen DNS-Server eine IP-Adresse als Zieladresse, die für eine Zone des internen Netzes gilt. Diese Adresse wird falsch geroutet, und die Anfrage schlägt fehl.

 

Kennt ihr da noch andere Szenarien, vielleicht auch wegen der Netzwerksicherheit?

 

Gruß, JoeSan

[Annette 10]

Mir fällt da derzeit nur ein Szenario ein, in dem der "illegale" Adressbereich für eine Zone auf einem internen DNS-Server eingetragen ist und zufällig das Zielnetz im Internet die gleiche Netzwerkadresse hat. Dann wird der interne DNS-Server die DNS-Anfrage zwar weiterleiten, bekommt aber von einem externen DNS-Server eine IP-Adresse als Zieladresse, die für eine Zone des internen Netzes gilt. Diese Adresse wird falsch geroutet, und die Anfrage schlägt fehl.

Genau da liegt der Hund begraben, aber nur da. Es gibt sonst weder Sicherheitsbedenken oder andere "Unannehmlichkeiten". Beim Einsatz von VPN und Adressvergabe per DHCP durch den RAS-Server kann es natürlich weitere Verbindungsschwierigkeiten geben. Aber ansonsten....

[zuschauer 10]

Hi JoeSan,

schön, daß Du wieder mal vorbeischaust ! :)

 

Ein sicherheitsrelevantes Szenario fällt mir da ein:

Die höheren Etagen sind ja meist mit Notebook unterwegs, in der Firma über LAN/WLAN, im Hotel über ISDN oder sonstwas.

Angenommen, der Admin soll eine Personal Firewall auf dem Notebook des Geschäftsführers installieren. Da dürfte er mit den öffentlichen Adreßräumen für das FirmenLan einige Probleme bekommen. Er müßte dann diesen Adreßraum als vertrauenswürdig einstufen. Wenn der GF dann mal wieder im Hotel surft, ist dann ziemlich viel offen ! ;)

[edv-olaf 10]

Hi,

 

eine andere Sicherheitsüberlegung:

private IPs sind in der Regel aus dem Internet nicht zugreifbar. Spätestens an der Firewall (NAT) sollte "aus die Maus" sein.

 

Besonders ärgerlich wird es, wenn halt auf eine URL zugegriffen wird, die in dem zugewiesenen öffentlichen IP-Adresskreis liegt, dann passiert nämlich gar nix mehr. Und RFC-konform dürfte das Ganze auch nicht sein.

 

Grüße

Olaf

[Das Mel 10]

Mal von der Firewall und dem Sicherheitsaspekt abgesehen ... Es könnte doch auch bei Routern Probleme geben, oder?! Ich meine da konkrete IP-Konflikte wenn Pakete mit einer öffentlichen IP-Adresse adressiert sind, obwohl sie eigentlich ins interne Netz sollen. :suspect:

[JoeSan 10]

Bisher gings mir mit dieser Frage wie Euch auch: Ich überlege und spekuliere, aber wie sich das genau auswirkt, weiß ich eigentlich nicht, obwohl es mir täglich begegnet. So konnte ich bisher kaum einschätzen, welche Priorität das Umkonfigurieren solcher Netze hat.

 

Ich kann an einem Router, für den ich als Administrator zuständig bin, eben auch eine Route in ein lokales Subnetz eintragen, dessen Netzwerkadresse aus dem öffentlichen Adressbereich stammt. Auch meine internen DNS-Server, die ich spätestens für Active Directory benötige, und auch meine Firewall kann ich so falsch konfigurieren, wie ich will. Für mein lokales Firmennetz funktioniert dann alles ganz prächtig, aber sobald bestimmte Anfragen an das Internet gestellt werden, kann es die bereits geschilderten Probleme geben.

 

Jetzt bin ich aber schon schlauer... :wink2:

 

Das mit der Personal Firewall auf dem Notebook leuchtet mir ein, wenn über ISDN durchs Internet ein VPN aufgebaut wird, dann ist die öffentliche IP im Internet wohl "sichtbar", Bei RAS-Einwahlverbindungen ist das Problem dann relevant, wenn z.B. gleichzeitig eine zweite Netzwerkverbindung mit dem Internet besteht.

 

Gruß, JoeSan

[Joee DANCER 10]

Normal werden solche falsch Adressierte Netze hinter einem Router verborgen der Masquerade fährt. Somit bekommt das I-Net

gar nicht mit das es doppelte IP`s gibt.

 

Gruß Joee :cool:

 

P.S.

Der Router sollte natürlich mit einer öffentliche und einer internen Adresse ausgestattet sein.

[grizzly999 11]

Selbst wenn ich kein Maquerading hätte, bekommt das "Internet solche doppleten IP-Netze" nicht mit, d.h. für das Internet sind sie nicht doppelt vorhanden. In den Internetroutern sind halt die Routen zu den "echten" netzinhabern eingetragen und dorthin wird auch der Verkehr geroutet. Das ist das eigentliche Problem.

 

grizzly999

[edv-olaf 10]

Original geschrieben von Joee DANCER

Normal werden solche falsch Adressierte Netze hinter einem Router verborgen der Masquerade fährt. Somit bekommt das I-Net

gar nicht mit das es doppelte IP`s gibt.

Einspruch:

1.) Was ist normal?

2.) JoeSan schreibt nix von NAT.

 

Aus anderen Gründen nehme ich zwar auch an, dass deine Aussage hier im Speziellen zutrifft, aber immer kannst du dir da nicht sicher sein.

 

Grüße

Olaf

[Joee DANCER 10]

Normal heißt das kein privates Netzwerk direkt am I-Net hängt und das aus diesem Grund Maskiert wird.

Über die NAT-Firewall werden die Zugriffsmöglichkeiten auf das an dem Internet Gateway angeschossenen Netzwerk minimiert, da das gesamte Netzwerk nur über eine einzige IP-Adresse im Internet dargestellt wird.

Sollte auf jedem Router laufen der ins I-Net routet,eben aus den hier diskutierten Gründen.

 

Gruß Joee

[JoeSan 10]

Also Thema NAT:

Klar, viele Firmennetze haben eine oder mehrere öffentliche IP-Adressen offiziell reserviert. Damit kann man in der DMZ einen VPN- oder Web-Server realisieren und diese Server und ganze interne Netze über NAT an das Internet anbinden. Oder man braucht die IP nur für ausgehende Verbindugen wie mail über PoP3 oder http per NAT und bekommt diese dynamisch zugewiesen.

 

Ein ganz unwahrscheinlicher Fall könnte dann doch eintreten, wenn der ISP mir zufällig Adressen aus dem Bereich zuweist, der schon fälschlicherweise für mein internes Netz konfiguriert ist, z.B.

Internes Netz: 123.123.123.0/24

Vom ISP zugewiesene öffentliche IP für NAT (statisch oder dynamisch) z.B.: 123.123.123.123.

 

Dann kann nicht mehr geroutet werden, keiner kommt ins Internet und mails können nicht mehr abgeholt werden. Trotz NAT, oder?

 

Oder wenn zufällig ein anderer ISP diese Adresse einem Zielnetz für NAT zugeordnet hat, das ich aus meinem Netz mit der gleichen Netzwerkadresse erreichen will. Dann kommt wieder das DNS-Problem zum Tragen und das Zielnetz kann trotz NAT nicht erreicht werden.

 

Das hat immer die gleiche Ursache, nämlich dass Qell- und Zielnetz die gleiche Netzwerkadresse haben, dann kann halt an irgendeiner Stelle nicht mehr geroutet werden, egal wie viele NATs dazwischen sind...

 

Gruß, JoeSan

[Joee DANCER 10]

Stimmt , aber nur für die Adresse des Routers, die anderen würde er wieder umwandeln?