Чи може мій адміністратор мережі знати, що я використовую віртуальний маршрутизатор для доступу до Інтернету на своїх несанкціонованих пристроях?

Я студент університету, і адміністратор мережі мого університету використовує MAC-адреси (1 MAC-адреса / студент) для дозволу доступу до Інтернету. Студенти регулярно використовують віртуальні програмні засоби для маршрутизації, щоб створити точку доступу для підключення до інших своїх пристроїв (підключення MAC - це одне з можливих способів вирішення проблеми, однак підробляння підробкою на портативному пристрої, наприклад, на пристрої з Android, вимагає кореневого доступу, що саме є біль, щоб отримати ).

Нещодавно адміністратор перенаправляв усіх студентів, щоб утриматися від використання гарячих точок, інакше він покарає тих, хто цього не виконує (видаляючи MAC-адресу студента з дозволеної бази даних MAC, я думаю). У мене є сильне відчуття, що він просто блефує.

Мій запит: чи взагалі можливо адміністратору знати, що пристрій використовує віртуальну маршрутизацію для підключення до інших несанкціонованих пристроїв?

Примітка. Я намагався шукати ресурси в Інтернеті, наприклад, як саме роблять мережу віртуальних маршрутизаторів, але я не зміг знайти суттєвої інформації. Я був би вдячний, навіть якщо хтось міг би вказати мені на якісь ресурси, які мені будуть корисні.

Так, ваше використання бездротової точки доступу можна визначити за допомогою бездротової системи запобігання вторгнень .

Основна мета WIPS - запобігти несанкціонованому доступу до локальних мереж та інших інформаційних ресурсів бездротовими пристроями. Ці системи, як правило, реалізуються як накладення на існуючу інфраструктуру бездротової локальної мережі, хоча вони можуть бути розгорнуті окремо для запровадження політики бездротового зв’язку в організації. Деякі передові бездротові інфраструктури мають інтегровані можливості WIPS.

Окрім фізичного бігу та виявлення точок доступу через WLAN-трафік ("warwalking"?) Або, можливо, використання існуючого маршрутизатора для виявлення тоді, структури трафіку також можуть бути віддачею - ваша точка доступу має інший підпис, ніж ваш пристрій.

Замість того, щоб працювати проти свого системдміна (який є ПДФА для обох сторін), поговоріть з ним. Я не знаю, чому у них є "один MAC на кожного учня", можливо, вони можуть трохи розслабитися? Скажіть, "два-три MAC на студента". Не набагато більше проблем з адміністрацією.

Я не знаю, як працює політична сторона студентського представництва у вашому університеті, але часто студенти можуть певним чином висловити свої інтереси. Так, це повільніше, ніж просто налаштування точки доступу, але також більш ефективно.

Раніше я працював помічником адміністратора мережі в коледжі. Це звучить як проблема з різницею поколінь або шкільна мережа не може обробляти більше ніж 1 пристрій для кожного учня, співробітника тощо. Напевно, кожен учень має більше пристроїв, ніж дозволяє політика.

Коротка відповідь - ТАК, вони можуть виявити несанкціонований доступ. НІ, не робіть цього. Я звичайно відкликав доступ за порушення мережевих ситуацій (обмін файлами, незаконне програмне забезпечення, віруси, порно в комп'ютерних лабораторіях тощо). Багатьом із цих учнів довелося залишити школу, адже без доступу до комп’ютера коледж досить важкий. Студенти піддають мережу ризику. Що робити, якщо хтось несанкціонованим пристроєм передав вірус, який витер ваші докторські дослідження та дисертацію? Якщо ви думаєте, що це жарт зараз, спробуйте на роботі і подивіться, що вийде.

Працюйте з адміністратором мережі, студентським урядом, адміністрацією тощо, щоб отримати додатковий бездротовий доступ для "інших ваших пристроїв", які НЕ ТРЕБУЮТЬ бути у мережі школи та / або в загальних місцях (наприклад, безкоштовний wifi у більшості кав’ярень ). Це запобігає навантаженню на "фактичну" шкільну мережу, а також надає вам потрібний доступ до Інтернету.

Я можу придумати кілька способів виявити подібну поведінку в мережі. Обмеження не є великим, коли насправді те, що вони повинні робити, - це обмеження з'єднань через порт, а не Mac, але це їхня мережа та їх правила, навіть якщо це створює просту (цільову) атаку відмови в службі, якщо ви спустошуєте чужий MAC-адреса.

Якщо взяти https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-wireless-access-points-on-a-network як вихідний пункт, видається досить зрозумілим, що будь-яка гідна бездротова інфраструктура буде вміти виявляти шахрайські гарячі точки (навіть DD-Wrt поле може зробити бездротове обстеження, щоб побачити, що ще є.)

Оскільки адміністратори контролюють трафік, такі інструменти IDS, як Snort, також можуть бути представлені, і вони віддадуть вас досить швидко, якби адміністратори прагнули знайти людей, які не відповідали йому. Деякі протоколи навіть не приховують, що вони працюють через NAT ( RFC7239 має заголовки http, як X-Forwarded-Forспеціально для використання веб-проксі.) RFC2821 радить клієнтам SMTP надсилати додатковий ідентифікатор, хоча це не є обов'язковим.

Єдиний спосіб, як ви могли дійсно сховати щось подібне, - це пристрій, який підключається до їхньої мережі, надсилає все до VPN або такої системи, як TOR, що саме по собі приверне певну увагу у вашому напрямку.

Хоча це не зовсім та сама ситуація, оскільки вони, схоже, не мають однакових обмежень, команда з безпеки Кембриджського університету нахмуриться на використання NAT у своїй мережі, як це спостерігається в Брандмауерах та політиці перекладу мережевих адрес, і надає деяку основу їхніх міркувань. .

TL; DR - Якщо ви хочете використовувати більше пристроїв, тоді вам потрібно пройти систему та представництво студентів, щоб вирішити проблеми, з якими ви стикаєтесь, адже якщо ваші адміністратори хочуть вас наздогнати, вони будуть.

Моя мережа використовує систему з детекторами, розташованими по всіх будівлях, і якщо з'явиться шахрайський SSID, він фактично тріангулює розташування пристрою. Система не є дешевою, але добрий Господь, це, мабуть, вигідніше в довгостроковій перспективі, якщо ви додасте час, витрачений вручну на управління MAC-адресами; це має бути адміністративним кошмаром. З усіх способів заблокувати систему, я дійсно не можу придумати гірший спосіб зробити це.

Як говорили інші, працюйте з адміністраторами, не намагайтеся їх перемогти. Завдяки доступній технології сьогодні, вам навіть не потрібен хороший адміністратор мережі, щоб вас застати. Спробуйте змінити політику, побачте, чи дозволені винятки тощо. Зрештою, вам буде краще.

Як уже говорили інші, адміністратори можуть виявити шахрайські бездротові точки доступу. Але також можливо виявити несанкціоновані пристрої шляхом глибокої перевірки пакетів. Компанії мобільного зв'язку можуть використовувати глибоку перевірку пакетів для виявлення несанкціонованого прив’язки. Ви можете прочитати про це на https://android.stackexchange.com/questions/47819/how-can-phone-companies-detect-tethering-incl-wifi-hotspot . Якщо пакети, згенеровані Windows, та пакети, створені Linux, одночасно надходять з вашої MAC-адреси, ймовірно, у вас підключено більше одного пристрою.

З іншого боку, глибока перевірка пакетів є дорогою, і адміністратори можуть не мати бюджету для її здійснення. Або вони можуть просто не бажати йти на той рівень зусиль, щоб зловити шахраїв. Але ви цього точно не знаєте. Напевно, краще поговорити з адміністраторами і подивитися, чи зможете ви щось розробити.

Як було сказано вище, відповідь - так. Точка доступу Wi-Fi (AP) дуже видна. Наприклад, гаряча точка надсилає періодичний маяк з MAC-адресою. Інспекція пакетів (заголовки TCP, TTL), перевірка часу / затримки, як відповідь вузла на втрату пакетів, які сайти він відвідує (оновлення Windows або PlayStore), заголовки HTTP, згенеровані браузерами, можуть вказувати на використання програмного забезпечення для маршрутизації та декількох пристроїв . Системи недешеві, але вони існують.

Ваші варіанти:

• Використовуйте бездротові рішення та моліться, щоб глибока перевірка пакетів не була доступною для вашого адміністратора, і вона не має простого сценарію, який перевіряє відвідувані сайти оновлення програмного забезпечення.
• Зменшіть потужність передачі на всіх пристроях до абсолютного мінімуму
• Переконайтеся, що ви не використовуєте конкретні браузери / пакети програм. Наприклад, той же MAC не використовуватиме IE та Android WebBrowser.