Sunday, May 11, 2008

No será Privada la 192.168.100.1? chan!


Bueno a ver... cómo decirlo. Puede pasar en las mejores familias, pero veanlo con sus propios ojos...
La ip 192.168.100.1 entra dentro del rango 192.168.0.0 - 192.168.255.255, y por lo tanto es considerada una IP interna clase C. Este tipo de direcciones para quien no esté familiarizado se utiliza en entornos privados para la contrucción de intranets o redes internas que soportan el direccionamiento IP (Ej. una red en casa, la oficina, etc) y NO DEBERÍAN, ser usadas como direcciones IP válidas en Internet cosa que si es posible en Argentina como otras tantas cosas.
En fin... Dejo a los lectores de este blog que emitan opinión del caso.
Saludos y como siempre espero haber colaborado con alguien.

6 comments:

Anonymous said...

Vos lo dijiste, es una IP privada.

Lo que esta respondiendo es un equipo en la Intranet de tu ISP (Telecom).
NO ES USADA como direccion IP valida en Internet.

Esto es comun y hasta casi necesario en todos los ISP para encaminar
informacion entre sus routers.

Y el CCNA como lo aprobamos?

des said...

¿Es "casi necesario" que un equipo interno responda a un ping o un traceroute que recibe desde Internet, dando además su dirección interna? ¿Sabes lo que estás diciendo, anónimo?

Es un fallo enorme. Un saludo.

des said...

Mmmm quizás me he pasado yo tb de listo en mi comentario anterior. ¿Ese no será tu isp, verdad?. Aún cuando lo sea, después de llegar a un router con IP pública (200.3.60.24), y que por tanto debería redirigirte a donde sea que quieras ir por internet, no deberías poder saltar a una máquina interna. Algo hay mal ahí. Saludos.

Anonymous said...

Por la cantidad de saltos, la respuesta la recibe desde su ISP (no desde Internet)

- 192.168.2.1 es el gateway de la red privada desde donde corrio el comando.
- 200.3.60.x son los gateways para clientes ADSL de la region.
- 192.168.100.1 es un equipo conectado directamente al gateway del ISP.

En cuanto a "revelar una direccion interna" no veo ningun inconveniente, todos conocemos las clases privadas.

"Saltar a una maquina interna" tampoco lo veo mal, siempre y cuando SOLO se respondan peticiones ICMP.
En el peor de los casos podes lanzar un ataque DOS ICMP al equipo en cuestion, pero solo lo podes hacer desde una conexion propia del ISP, el cual descubriria su origen en minutos.

Esta situacion se evidencia aun mas en proveedores como Gigared.

Hagan un traceroute desde una conexion de Gigared a cualquier direccion externa, y veran por cuantas direcciones privadas pasan los paquetes. Ademas veran que las mismas tambien responden a los pings.

Matías Silvero said...

A ver, vamos aclarar un poco, porque parece que me expresé mal.

Como dice el primer comentario:
Lo que esta respondiendo es un equipo en la Intranet de tu ISP (Telecom). CORRECTO ASÍ ES, PERO PORQUÉ RESPONDER UN ICMP EN ESA SUBRED O A ESA ALTURA DEL RUTEO?

NO ES USADA como direccion IP valida en Internet. TAMBIÉN ES CIERTO, ALGUIEN QUE NO ESTÉ EN LA RED DE TELECOM NO VE ESE HOST.

Esto es comun y hasta casi necesario en todos los ISP para encaminar
informacion entre sus routers??? PERO EN TODO CASO SERÍA ALGÚN BGP, OSPF, etc.

En cuanto al último comentario, la apreciación de las direcciones IPs es correcta, pero quiero aclarar que no estoy en desacuerdo con la revelación de la dirección, sino con el ruteo a la misma posterior a la 200.3.60.x

Para terminar imaginen esta situación:
Uds deciden enlazar dos ubicaciones X e Y mediante el establecimiento de una VPN, por ej del tipo LAN-TO-LAN. A la ubicación X le asignan la dirección 192.168.10.x mientras que a Y le asignan la dirección 192.168.11.x; ahora imaginen que todo funciona, pero un día su ISP decide asignarle una de esas IPs a uno de sus equipos y no solo eso, sino que también permite que dicho equipo responda a peticiones de desde la red de usuarios ADSL.
Ya sé que existen soluciones al problema planteado y muchas, pero el tema es regirnos por las buenas prácticas, y si bien los ISPs son dueños de usar las IPs Privada Clase C donde gusten, yo creo que en ese ambiente por lo menos deberían limitar el ruteo, permitiendo al resto de los sistemas autónomos hacer también uso de las mismas.
En fin me gustó mucho el post porque ha generado un lindo feedback.

Saludos

Anonymous said...

Con las VPN no tendras ningun inconviente, incluso asignando la subred 192.168.100.0/24 (o cualquiera, incluso direcciones publicas) a uno o mas extremos, ya que las mismas generan interfaces y rutas estaticas especificas de mayor proriedad.

Los paquetes LAN-TO-LAN viajan encapsulados, por lo que el ISP ve en los headers IP la direccion asignada al cliente y no las direcciones asociadas a la VPN.

Saludos.