パブリックIPアドレスの公開はセキュリティ上の脅威ですか？

Question

私は大企業（複数の場所にいる何千人もの従業員）で働いています。最近、可能性のあるパブリックIPアドレスが何であるかを知る必要がありました。それにより、ベンダーは（おそらくファイアウォールのために）私たちを識別できるようになりました。

私が話し合ったネットワーク担当者は、私たちのパブリックIPアドレスの範囲を知っている誰かが重大なセキュリティ脅威であるかのように振る舞いました。その範囲のIPアドレスのいくつかは完全にパブリックであり、パブリックWebサイトのドメインから解決されています。あなたが持っている可能性のあるすべてのIPアドレスを全世界に知らせることの本当のリスクは何ですか？

TildalWave · Accepted Answer

あなたのnetwork guyは、あなたが尋ねた情報を共有したくないという正当な理由があるかもしれません。あなたが彼に尋ねたあなたの説明はあなたの会社が割り当てられているIP範囲（ [〜＃〜] cidr [〜＃〜] ）ではなく、実際のリストです個々のliveその中のIP [〜＃〜] asn [〜＃〜] 。組織に割り当てられているCIDR範囲を取得するのは比較的簡単です。その組織に属している単一のIPがわかっていれば、登録されているすべてのASNを検索するだけです。または、組織の名前を検索しても、使用する関連するASNが得られる可能性があります-たとえば、私の回答を参照してください 会社、会社所有サイトなどの情報を取得する方法… 質問。このデータの多くは公開知識です。

そうは言っても、会社に割り当てられたCIDR範囲を尋ねると完全に異なる応答が得られると思います。これはほとんど秘密ではありませんが、ファイアウォールに新しいルールを割り当てるには十分です。 live IPの実際のリストを共有することは、別の問題です。

あなたの会社が/24そのネットワーク（そのASN）に割り当てられたパブリックIPアドレス（CIDR）の範囲。これは256 IPのみで、小規模な組織では非常に一般的です。ここで、組織が実際にこれらのIPの半分しか使用しておらず、他のIPはdeadであると仮定します。これをどのようにして秘密にしておくと、ネットワーク男に役立ちますか？攻撃者が、組織が使用するCIDR範囲をスキャンしてサーバーバナー（ソフトウェア、ハードウェア、オペレーティングシステムの識別情報または署名）を収集し、live IPを列挙したいとします。これは通常、攻撃者が最初に行うステップです。彼はCIDR範囲内のすべてのIPのリストを調べ、指紋をさまざまなネットワーキングデバイスのアクセスログにnetwork guy'sセットアップで残します。 network guyは、ネットワークのCIDR範囲に相当するIPアドレスをスキャンしていた外部IPを簡単に特定できます（-attackerはdeadを含むすべてのIPアドレスをスキャンします ones、一方正当なユーザーはlive ones）にのみアクセスし、攻撃者のIPを即座にブラックリストに登録してネットワークを保護します。簡単です。ただし、live IPのリストが何らかの形で公開された（つまり、信頼されていないサードパーティと共有された）場合、攻撃者がこの明らかな試行の痕跡を作成する可能性は急速に減少します。

私はあなたがあなたのネットワークの男に戻って、彼にあなたにパブリックIP範囲を次回尋ねるべきだと思います。彼はそれを共有するのに多くの問題を抱えているべきではなく、サードパーティがあなたのIPをホワイトリストに登録するために知っておく必要がある十分な情報であるか、さもなければ他の目的のためにそれらを通してのアクセスを識別する extranet B2B サービスなどの自動クライアント識別。

AJ Henderson · Answer

公開IPアドレスは、ほとんどの目的と公開情報です。セキュリティはプライベートであることには依存しませんが、（自宅のアドレスを振り回したくないのと同じように）必ずしも自由に振り回したいわけではありませんが、誰かが見つけにくいものでもありません。彼らが何をしているか知っているなら、一般的に最小限の努力。

しかし、誰かがあなたのIPアドレスを正当に必要としている場合、それがセキュリティ上の赤旗であるべき理由はありません。パブリックIPアドレスは、必要に応じて、インターネット上で通信するすべてのシステムに公開されます。

user10211 · Answer

public IPアドレスは、理由によりpublic IPアドレスと呼ばれます。 1つのように扱います。

あなたの会社に属するパブリックIPアドレスのリストを保持することは、それが日和見的であれ標的であれ、いかなる種類の攻撃にも影響を与えません。システムがインターネットに接続されている場合、自動化されたスクリプトやマルウェアがそこに侵入しますwill。攻撃者が会社のネットワークに対して標的型攻撃を仕掛けている場合、そのパブリックIPアドレスのリストを秘密にしておけば、それほど大きな障壁にはなりません。

ネットワークを保護するために無名に頼らないでください。すべての攻撃者がその情報などを知っており、ネットワークを適切に保護するために働いていると想定します。

Tom Leek · Answer

ネットワークにどのIPが存在するかを知ることは、攻撃者にとって貴重な情報になる可能性があります。if組織がIPアドレスの全範囲を所有しているが、実際にはそれらのいくつか。選択できるアドレスが10000個あるが、実際のマシンが20個しかない場合、攻撃者は存在しないマシンに到達しようとするのにある程度の時間を費やす可能性があります。

もちろん、これは現実的なシナリオではありません。これは、可能なIPv4アドレスの範囲が豊富で、大学や企業がBクラス（65536アドレス）を取得できる場合に当てはまりました。もうそうじゃない。終わりの時は近い

ただし、ネットワークで注意を引くことを避けたい場合があります。ネットワークを標的とする有能な攻撃者は、IPアドレスを学習します。しかし、無能な攻撃者も多く、その数だけでは迷惑になります。 discretionのある程度のレベルはそれらを抑止するのに十分である場合があります。 IPアドレスを公開しないことは、事業本部の入り口にブロンズプラークを置かないことと同じです。