Может ли мой сетевой администратор знать, что я использую виртуальный маршрутизатор для доступа в Интернет на моих неавторизованных устройствах?

Question

Я студент университета, и администратор сети моего университета использует MAC-адреса (1 MAC-адрес / студент) для авторизации доступа в Интернет. Студенты регулярно используют программы виртуальной маршрутизации для создания точки доступа для подключения к своим другим устройствам (один из возможных способов - это спуфинг MAC-адресов, но для подмены на портативном устройстве, например, на устройстве Android, требуется root-доступ, что само по себе является проблемой для получения доступа). ).

Недавно администратор перенаправил всех учеников, чтобы они воздерживались от использования горячих точек, в противном случае он накажет тех, кто не соблюдает правила (я полагаю, удалив MAC-адрес ученика из авторизованной базы данных MAC). У меня сильное чувство, что он просто блефует.

Мой вопрос: может ли администратор вообще знать, что устройство использует виртуальную маршрутизацию для подключения к другим неавторизованным устройствам?

Примечание: я пытался искать ресурсы в Интернете, например, как именно работает сеть виртуальных маршрутизаторов, но я не смог найти какой-либо существенной информации. Я был бы признателен, даже если бы кто-то мог указать мне на некоторые ресурсы, которые были бы полезны для меня.

Answer 1

Да, использование беспроводной точки доступа может быть идентифицировано с помощью беспроводной системы предотвращения вторжений.

Основной целью WIPS является предотвращение несанкционированного доступа к беспроводной сети в локальные сети и другие информационные ресурсы. Эти системы обычно реализуются как наложение на существующую инфраструктуру беспроводной локальной сети, хотя они могут быть развернуты автономно для обеспечения применения политик без беспроводной связи в организации. Некоторые передовые беспроводные инфраструктуры имеют встроенные возможности WIPS.

Answer 2

Помимо физического бега вокруг и обнаружения горячих точек через трафик WLAN ("варварство"?), Или, возможно, с использованием существующего маршрутизатора для обнаружения, шаблоны трафика также могут быть бесплатной - ваша горячая точка имеет подпись, отличную от вашего устройства.

Вместо того, чтобы работать против вашего сисадмина (который является PITA для обеих сторон), поговорите с ним. Я не знаю, почему у них есть "одно правило MAC на одного учащегося", может быть, они могут немного расслабиться? Скажем, "два или три MAC на студента". Не намного больше проблем для администрирования.

Я не знаю, как работает политическая сторона студенческого представительства в вашем университете, но часто студенты могут каким-то образом высказать свои интересы. Да, это медленнее, чем просто установка точки доступа, но и более эффективно.

Answer 3

Я работал помощником сетевого администратора в колледже. Это звучит как проблема различий между поколениями, или сеть школы не может обрабатывать более 1 устройства для каждого учащегося, сотрудника и т.д. Вероятно, у каждого студента больше устройств, чем позволяет политика.

Краткий ответ: ДА, они могут обнаружить несанкционированный доступ. НЕТ, не делай этого. Я обычно аннулирован доступ к сети (нарушения обмена файлами, незаконное программное обеспечение, вирусы, порно в компьютерных лабораториях, и т.д.). Многим из этих учеников пришлось покинуть школу, потому что в колледже довольно сложно без доступа к компьютеру. Студенты подвергают сеть риску. Что, если чье-то несанкционированное устройство передало вирус, который уничтожил ваши докторские исследования и диссертацию? Если вы думаете, что это шутка, попробуйте на работе и посмотрите, что получится.

Работайте с сетевым администратором, администрацией студентов, администрацией и т.д., Чтобы получить дополнительный беспроводной доступ для "других ваших устройств", которые НЕ ДОЛЖНЫ находиться в сети школы и / или в местах общего пользования (например, бесплатный Wi-Fi в большинстве кафе ). Это предотвращает нагрузку на "настоящую" школьную сеть и по-прежнему дает вам доступ в интернет, который вы хотите.

Answer 4

Я могу придумать несколько способов обнаружить такое поведение в сети. Ограничение не является хорошим, когда на самом деле они должны ограничивать соединения по порту, а не по mac, но это их сеть и их правила, даже если они создают легкую (целевую) атаку отказа в обслуживании, если вы должны были подделать чужую MAC-адрес.

Принимая https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-wireless-access-points-on-a-network в качестве отправной точки, кажется довольно очевидным, что любая приличная беспроводная инфраструктура быть в состоянии обнаружить мошеннические горячие точки (даже коробка dd-wrt может провести беспроводную съемку, чтобы увидеть, что еще вокруг).

Так как администраторы контролируют трафик, инструменты IDS, такие как Snort, также могут быть задействованы и довольно быстро раздадут вас, если администраторы захотят найти людей, которые не соответствуют требованиям. Некоторые протоколы даже не скрывают, что работают через NAT (RFC7239 имеет заголовки http, такие как X-Forwarded-For специально для использования веб-прокси). RFC2821 рекомендует SMTP-клиентам отправлять необязательный идентификатор, хотя это не обязательно.

Единственный способ действительно скрыть что-то подобное - это заставить устройство, подключенное к их сети, отправлять все в VPN или систему, подобную TOR, что само по себе привлечет внимание в вашем направлении.

Хотя это не совсем та же ситуация, так как кажется, что они не имеют таких же ограничений, команда безопасности Университета Кембриджа не одобряет использование NAT в своей сети, как это видно в политике межсетевых экранов и трансляции сетевых адресов, и предоставляет некоторую справочную информацию об их аргументации. ,

TL; DR - если вы хотите использовать больше устройств, вам нужно пройти через систему и представление студентов, чтобы решить проблемы, с которыми вы сталкиваетесь, потому что, если ваши администраторы захотят вас поймать, они это сделают.

Answer 5

В моей сети используется система с детекторами, расположенными по всему зданию, и, если обнаруживается мошеннический SSID, он фактически триангулирует местоположение устройства. Система не дешевая, но, Господи, вероятно, она будет более экономичной в долгосрочной перспективе, если вы добавите время, потраченное на ручное управление MAC-адресами; это должен быть административный кошмар. Из всех способов заблокировать систему я действительно не могу придумать худшего способа сделать это.

Как уже говорили другие, работайте с админами, не пытайтесь их победить. С доступными технологиями в наши дни вам даже не нужен хороший сетевой администратор, чтобы поймать вас. Попробуйте изменить политику, посмотрите, разрешены ли исключения, и т.д. В итоге вам будет лучше.

Answer 6

Как уже говорили другие, администраторы могут обнаруживать мошеннические точки беспроводного доступа. Но также возможно обнаружить неавторизованные устройства с помощью глубокой проверки пакетов. Компании мобильной связи могут использовать глубокую проверку пакетов для обнаружения несанкционированного подключения. Вы можете прочитать об этом по адресу https://android.stackexchange.com/questions/47819/how-can-phone-companies-detect-tethering-incl-wifi-hotspot. Если сгенерированные Windows пакеты и сгенерированные Linux пакеты поступают с вашего MAC-адреса одновременно, вероятно, у вас подключено более одного устройства.

С другой стороны, глубокая проверка пакетов обходится дорого, и у администраторов может не хватить средств для ее реализации. Или они могут просто не захотеть идти на такой уровень усилий, чтобы поймать мошенников. Но вы не знаете этого наверняка. Вероятно, лучше поговорить с администраторами и посмотреть, сможете ли вы что-нибудь придумать.

Answer 7

Как уже упоминалось выше, ответ - да. Точка доступа WiFi (AP) очень видна. Например, горячая точка отправляет периодический сигнал маяка с MAC-адресом. Проверка пакетов (заголовки TCP, TTL), проверка времени / задержки, того, как узел реагирует на потерю пакетов, какие сайты он посещает (обновление Windows или PlayStore), HTTP-заголовки, созданные браузерами, могут указывать на использование программного обеспечения для маршрутизации и нескольких устройств. , Системы не дешевые, но они существуют.

Ваши варианты:

• Используйте не беспроводные решения и молитесь, чтобы глубокая проверка пакетов не была доступна для вашего администратора, и она не запускает простой скрипт, который проверяет посещенные сайты обновления программного обеспечения.
• Уменьшите мощность передачи на всех устройствах до абсолютного минимума
• Убедитесь, что вы не используете специфичные для устройства браузеры / пакеты программного обеспечения. Например, тот же MAC не будет использовать IE и Android WebBrowser.