Welchen Vorteil bieten private IP-Adressen?
Jeder Rechner benötigt zur Kommunikation im Internet und MWN (Münchner Wissenschaftsnetz) eine IP-Adresse. Ist die IP-Adresse aus den Bereichen
10.0.0.0 |
- | 10.255.255.255 |
172.16.0.0 | - |
172.31.255.255 |
192.168.0.0 | - |
192.168.255.255 |
so wird diese als „privat“ bezeichnet (RFC 1918), da Datenpakete mit solchen IP-Adressen nicht im Internet weitergeleitet (geroutet) werden. Im MWN nutzt das LRZ diese Adressbereiche auch zur Vergabe von "MWN-weit gültigen" privaten IP-Adressen, deren Pakete nur im MWN weitergeleitet werden. Die entsprechenden Adressen werden vom LRZ verwaltet und zugeteilt. Für rein lokale Zwecke können Adressen aus den Bereichen verwendet werden, diese werden auch innerhalb des MWN nicht geroutet:
10.0.0.0/16
10.200.0.0/16
172.22.0.0/16
192.168.0.0/24
192.168.1.0/24
192.168.224.0/24
Hat ein Rechner eine private IP-Adresse, so kann kein Paket aus dem Internet diesen direkt erreichen. Rechner mit privaten Adressen sind damit automatisch gegen (Hacker-)Angriffe aus dem Internet geschützt. Allerdings kann immer noch ein Angriff von einem anderen Rechner innerhalb des MWN erfolgen, dies ist bei sogenannten Internet-Würmern leicht der Fall. Deshalb sollte man trotzdem eine (Personal) Firewall einsetzen, welche Verbindungen von außen verhindert bzw. einschränkt. Auch die Gefahr einer Virus-Infektion über eine E-Mail oder durch ein aus dem Internet geladenes Programm besteht weiter, man sollte unbedingt ein aktuelles Anti-Virus-Programm einsetzen (Siehe https://doku.lrz.de/display/PUBLIC/Sicherheit+Antivirus). Die Nutzung einer per Virus eingeschleusten Fernbedienungssoftware ist aber ausgeschlossen.
Ebenso kann kein Datenpaket mit einer privaten IP-Adresse das MWN verlassen.
Zur Nutzung des Internets mit privaten Adressen müssen entweder sogenannte Proxy-Server verwenden werden, oder die Adresse wird von einem NAT-Gateway auf eine offizielle Adresse umgesetzt. Im MWN kommunizieren die Systeme mit gerouteten privaten Adressen über das Gateway Secomat.
Wir empfehlen zur Erhöhung der Sicherheit möglichst private IP-Adressen zu verwenden. Dies kann z.B. bei Nutzung des IPsec-VPN-Servers durch Eingabe von # vor der Benutzerkennung (Username) geschehen. Für Serversysteme, die selbst weltweit Dienste anbieten, kommen dagegen private Adressen nicht infrage.
Institute, die ihre fest angeschlossenen Rechner (oder einen Teil davon) auf private Adressen umstellen wollen, sollten sich über den zuständigen Netzverantwortlichen an ihren Arealbetreuer am LRZ wenden.