如何解决企业中公网IP当私网用的问题？ | 总第201周 - 新鲜讯息

‍‍

0x1 本周话题TOP1

话题：在清洗富化原始日志的确会碰到非常多的问题，要对自己组织的网络架构有相当了解，比如nta日志判定流量是inbound还是out还是internal、提取xff，cdn对xff的标识，内网流量没有xff，我们内部还有把公网ip当私网用的情况，ipv6下负载均衡6转4的情况，都是我们碰到过的坑。仅仅从设备原始日志上写个正则，那么进soc的数据质量就会没那么好。

A1：公网ip当私网用这个坑挖得好大，例如影响标识流量方向，整个段的封禁都要加白名单。

A2：一些比较特别的情况下，采用公网IP做私网IP是为了某种特别掩护，也不能说就一棍子打死，毕竟政务云里公网IP私用是一件很频繁的事情，SH政务网里就有很多的海外公网IP当内网用。

A3：这好像还比较常见，特别一些老的环境。我们这儿就有单位这么用，好在他们是独立探针，可以标识出来。

A4：这个从侧面也反映了对内部资产梳理不够，可以考虑在s-CMDB中加一个字段：区域，这样即使有两个10.10.10.10，也能区分。

A5：不是的，我知道内部有这种情况，但在处理流量日志时候就麻烦了，比如nta又有内部流量，又有外面进来的流量，根据源目的地址就不好标识流量是外对内还是内对内。

某些产品判定是不是内网渗透，就是拿源、目的的区域来识别的。nta都要事先输入内部资产的地址范围，就是为了标识流量方向，还有提取xff策略都要用。

这种如果是纯隔离区域也没事，一旦流量中有互联网的流量，就是大麻烦，考验siem系统日志处理准确性。

A6：我几年前做安全服务的时候遇到很多客户，有些教育网、政务网都是公网IP但是其实是他们的大内网，自己的路由转发策略。

A7：这里其实有一个悖论，主导资产管理的团队没有这么精细化的颗粒度要求，有这个需求的安全团队并不主管资产管理。

Q：关键是这样做除了早期的教育网是这样的是当时的环境限制所致，现在还这么做的意义在哪？

A8：如果是为了防止误访问外国地址，那不如直接防火墙封了外国ip。

A9：这种在高校场景下还是挺常见的，几百个公网C段在内网用着，主要还是前期做好IP标识，但是不知道和你们说的是不是一样的场景，我们的公网IP就确确实实是教育网分给我们的，只不过我们放在内网里当私有地址在用。

A10：这种情况主要还是对soc的干扰，你不管内网流量，公网进来的，内网出去的，流量或者说event都是要汇集到siem里。有个品牌的nta，它标识实际源地址，xff怎么提都是跟内网资产的地址范围有关的。

举个例子，一条带有攻击特征的ng反向代理流量，如果配了xff，xff是公网ip，这条流量大概率可以认为是inbound，可以不怎么需要关注，但xff是内网ip，那么soc就要关注了。

A11：我们SOC还没搞，但是主流的流量检测类产品，根据我们实际测试的情况，只要配置好IP，没遇到过内外网区域识别出错的情况。认同例子，不过我们在内网用的公网IP，只会在我们内网流量中出现，公网上不会存在同样的IP。

另外，我们虽然海外业务，国外流量不小，但是我们用的公网地址是教育网的，海外不会出现。

A12：单个设备不会，但siem或者soc是要拿你所有流量的，所以这条流量你要带设备标识，你才知道流量的源目的区域是public还是private。还有公网私用，重合的这些公网ip进不了soar，要不要去cmdb查资产，这些逻辑都变得异常复杂。

A13：我明白了，你们说的场景下，是第三方的公网IP，同时在自己的内网IP中出现了，所以出现的问题是吗？那这种和高校的场景还不太一样，同一个IP可能是不同的来源区域，这种想想就很坑。

A14：是的，因为地址规划就出了问题，导致私用的跟真正公网的重合了。简单点说一个内部地址往威胁情报里一查，来自斐济。

A15：太坑了，那网络部门是得背锅。

A16：通过来源判断，内网不可能出现外网流量。内外的网络不隔离嘛？

A17：这种好多是历史遗留问题，不好解决，除非有事件推动。

A18：其实公私ip混用主要最大问题在于四层，七层还好解决，四层过一次NG，哪怕你聚合出来都会稀奇古怪的，因为很多聚合的规则会做一次内网外的判断，这种场景下一混基本没准的了，七层转发可以在header里面配来源有xxf或者x-real，四层就没这种条件了，还有比如做的更好一些有内层应用防火墙的，waf再做一次透明代理之类的，四层根本没法做聚合分析了，这个问题我最早发现就是我以前做红队的时候，打国内的某个双一流的院校，打着打着发现咋出现公网地址了，然后居然还有单独的路由，后来打到运维的机器上看到材料才知道教育网还有这种遗留问题，直接走教育网又横向移动到其他学校了。

0x2