La publication de votre adresse IP publique est-elle une menace pour la sécurité?
Je travaille pour une grande entreprise (des milliers d'employés répartis sur plusieurs sites). J'ai récemment eu besoin de savoir quelles sont les adresses IP publiques possibles, afin qu'un fournisseur puisse nous identifier (probablement pour leur pare-feu).
Le gars du réseau avec qui j'ai parlé a agi comme si quelqu'un connaissant notre gamme d'adresses IP publiques était une menace de sécurité importante. Quelques adresses IP de cette plage sont totalement publiques et sont résolues à partir des domaines de notre site Web public. Quel est le risque réel que le monde entier connaisse toutes les adresses IP possibles que vous pourriez avoir?
Votre type de réseau pourrait avoir une bonne raison de ne pas vouloir partager les informations que vous avez demandées. Vous voyez, ce que vous décrivez que vous lui avez demandé n'est pas la plage IP ( CIDR ) votre entreprise a été affectée, mais la liste réelle des individus IP en direct dans cette ASN . Désormais, il est relativement facile d'obtenir la plage CIDR attribuée à votre organisation à son ASN, à condition de connaître une seule adresse IP appartenant à cette organisation, puis de rechercher simplement dans tous les ASN enregistrés. Alternativement, même la recherche du nom de l'organisation peut produire des ASN pertinents qu'elle utilise - voir par exemple ma réponse pour le Comment obtenir des informations sur l'entreprise, les sites appartenant à l'entreprise, etc. question. Une grande partie de ces données sont de notoriété publique.
Cela dit, je pense que vous obtiendriez une réponse complètement différente si vous lui demandiez la gamme CIDR à laquelle votre entreprise a été affectée, ce qui n'est pas un secret mais probablement assez bon pour attribuer de nouvelles règles à un pare-feu. Le partage de la liste réelle des IP en direct est une question différente;
Imaginez que votre entreprise dispose d'un /24 plage d'adresses IP publiques (CIDR) affectées à son réseau (son ASN). Cela ne représente que 256 adresses IP et est assez courant pour les petites organisations. Supposons maintenant que votre organisation n'utilise réellement que la moitié de ces adresses IP et que les autres adresses IP soient mortes . Comment garder cela secret pourrait-il servir votre gars du réseau ? Supposons qu'un attaquant veuille analyser la plage CIDR utilisée par votre organisation pour collecter les bannières de serveur (logiciels, matériel, informations d'identification ou signatures du système d'exploitation) et énumérer IP en direct . C'est généralement l'une des premières étapes d'un attaquant. Il passera en revue la liste de toutes les adresses IP de votre plage CIDR, laissant des empreintes digitales dans les journaux d'accès de divers périphériques réseau de votre configuration du type de réseau . Votre type de réseau peut alors facilement déterminer quelle adresse IP externe analysait toute la plage CIDR de votre réseau en fonction des adresses IP (un l'attaquant les scannerait tous, y compris morts , tandis qu'un légitime l'utilisateur accèderait uniquement en direct ) et mettrait sur liste noire les attaquants IP pour protéger le réseau. Facile. Si toutefois la liste des IP en direct devenait publique (c'est-à-dire partagée avec un tiers non fiable), les chances qu'un attaquant crée cette piste de tentative évidente diminuent rapidement.
Je pense que vous devriez revenir à votre gars du réseau et plutôt lui demander votre plage IP publique la prochaine fois. Il ne devrait pas avoir beaucoup de problèmes à partager cela et est suffisamment d'informations que les tiers doivent savoir pour mettre vos adresses IP en liste blanche, ou autrement identifier l'accès à travers elles à d'autres fins, comme par exemple identification automatisée des clients pour les services extranetB2B et similaires.
Votre adresse IP publique est pour la plupart des fins publiques. Aucune sécurité ne devrait dépendre de sa confidentialité, mais ce n'est pas quelque chose que vous voulez forcément faire comme bon vous semble (tout comme vous ne feriez pas signe de votre adresse personnelle), mais ce n'est pas quelque chose qui est difficile à trouver pour quelqu'un avec effort généralement minime s’ils savent ce qu’ils font.
Si quelqu'un a un besoin légitime de votre adresse IP, il n'y a aucune raison que ce soit un drapeau rouge de sécurité. Votre adresse IP publique est divulguée à tous les systèmes auxquels vous parlez sur Internet par nécessité.
Une adresse IP publique est appelée une adresse IP publique pour une raison. Traitez-le comme tel.
Garder la liste des adresses IP publiques appartenant à votre entreprise ne fera aucune différence pour toute sorte d'attaques, qu'elles soient opportunistes ou ciblées. Si votre système est connecté à Internet, il sera être martelé par des scripts automatisés et des logiciels malveillants. Si un attaquant dirige une attaque ciblée contre le réseau de votre entreprise, garder secrète cette liste d'adresses IP publiques ne constituera pas une grande barrière.
Ne comptez pas sur l'obscurité pour protéger vos réseaux. Supposons que chaque attaquant connaisse ces informations et bien plus encore et s'efforce de protéger correctement vos réseaux.
Savoir quelle adresse IP existe dans un réseau peut être une information précieuse pour un attaquant, si l'organisation possède une gamme complète d'adresses IP mais n'utilise en fait que certains d'entre eux. L'idée étant que s'il y a 10000 adresses à choisir, mais seulement 20 avec des machines réelles derrière elles, l'attaquant peut passer du temps à essayer d'atteindre des machines inexistantes.
Bien sûr, ce n'est pas un scénario réaliste. C'était vrai, lorsque la gamme d'adresses IPv4 possibles était abondante et que toute université ou entreprise pouvait obtenir une classe B (avec 65536 adresses). Mais plus maintenant. La fin des temps est proche.
Cependant, vous voudrez peut-être éviter d'attirer l'attention sur votre réseau. Les attaquants compétents qui ciblent votre réseau apprendront vos adresses IP. Mais il y a aussi beaucoup d'attaquants incompétents, qui peuvent devenir une nuisance par leur nombre; un niveau infime de discrétion peut suffire à les dissuader. Ne pas publier vos adresses IP, c'est comme ne pas mettre de plaque de bronze à l'entrée du siège de votre entreprise.