Czy mój administrator sieci wie, że korzystam z routera wirtualnego, aby uzyskać dostęp do Internetu na moich nieautoryzowanych urządzeniach?

Jestem studentem uniwersytetu, a administrator sieci mojego uniwersytetu używa adresów MAC (1 adres MAC / student), aby autoryzować dostęp do Internetu. Uczniowie regularnie używają oprogramowania do routingu wirtualnego, aby utworzyć punkt dostępu do łączenia się z innymi urządzeniami (fałszowanie adresów MAC to jedno z możliwych obejść, ale fałszowanie na urządzeniu przenośnym, na przykład urządzeniu z Androidem, wymaga dostępu do konta root, co samo w sobie jest utrudnieniem ).

Niedawno administrator przekierował wszystkich uczniów, aby powstrzymali się od korzystania z hotspotów, w przeciwnym razie ukarze tych, którzy nie będą przestrzegać (usuwając adres MAC ucznia z autoryzowanej bazy danych MAC, jak sądzę). Mam silne przeczucie, że po prostu blefuje.

Moje pytanie brzmi: czy administrator może w ogóle wiedzieć, że urządzenie używa routingu wirtualnego do łączenia się z innymi nieautoryzowanymi urządzeniami?

Uwaga: próbowałem szukać zasobów online, na przykład, w jaki sposób dokładnie sieć wirtualnych routerów, ale nie mogłem znaleźć żadnych istotnych informacji. Byłbym wdzięczny, nawet gdyby ktoś mógł wskazać mi zasoby, które byłyby dla mnie przydatne.

Tak, korzystanie z bezprzewodowego punktu dostępowego można zidentyfikować za pomocą bezprzewodowego systemu zapobiegania włamaniom .

Głównym celem WIPS jest zapobieganie nieautoryzowanemu dostępowi sieci do sieci lokalnych i innych zasobów informacyjnych przez urządzenia bezprzewodowe. Systemy te są zazwyczaj implementowane jako nakładka na istniejącą infrastrukturę bezprzewodowej sieci LAN, chociaż mogą być wdrażane jako samodzielne w celu egzekwowania zasad braku łączności bezprzewodowej w organizacji. Niektóre zaawansowane infrastruktury bezprzewodowe mają zintegrowane funkcje WIPS.

Poza fizycznym bieganiem i wykrywaniem hotspotów za pośrednictwem ruchu WLAN („warwalking”?), A może za pomocą istniejącego routera do wykrycia, wzorce ruchu mogą być również podarunkiem - twój hotspot ma inną sygnaturę niż twoje urządzenie.

Zamiast działać przeciwko swojemu administratorowi systemu (który jest PITA dla obu stron), porozmawiaj z nim. Nie wiem, dlaczego mają zasadę „jeden MAC na ucznia”, może może trochę to rozluźnią? Powiedz „dwa lub trzy adresy MAC na ucznia”. Niewiele więcej problemów z administrowaniem.

Nie wiem, jak polityczna strona reprezentacji studentów działa na twoim uniwersytecie, ale często studenci mogą w jakiś sposób wyrazić swoje zainteresowania. Tak, jest to wolniejsze niż samo ustanowienie hotspotu, ale także bardziej skuteczne.

Pracowałem jako asystent administratora sieci na studiach. Brzmi to jak problem różnicy pokoleń lub sieć szkoły nie może obsłużyć więcej niż 1 urządzenia dla każdego ucznia, członka personelu itp. Prawdopodobnie każdy uczeń ma więcej urządzeń niż pozwala na to polityka.

Krótka odpowiedź brzmi TAK, mogą wykryć nieautoryzowany dostęp. NIE, nie rób tego. Rutynowo cofałem dostęp z powodu naruszeń sieci (udostępnianie plików, nielegalne oprogramowanie, wirusy, pornografia w laboratoriach komputerowych itp.). Wielu z tych uczniów musiało opuścić szkołę, ponieważ college jest dość trudny bez dostępu do komputera. Uczniowie narażają sieć na ryzyko. Co się stanie, jeśli czyjeś nieautoryzowane urządzenie przeszło wirusa, który zniszczył twoje badania i pracę doktorską? Jeśli uważasz, że to żart, wypróbuj go w pracy i zobacz, co się stanie.

Współpracuj z administratorem sieci, samorządem studenckim, administracją itp., Aby uzyskać dodatkowy dostęp bezprzewodowy dla „innych twoich urządzeń”, które NIE POTRZEBUJĄ być w sieci szkolnej i / lub w obszarach wspólnych (np. Darmowe Wi-Fi w większości kawiarni) ). Zapobiega to obciążeniu „rzeczywistej” sieci szkolnej i nadal zapewnia dostęp do Internetu, którego potrzebujesz.

Mogę wymyślić kilka sposobów na wykrycie tego rodzaju zachowania w sieci. Ograniczenie to nie jest świetne, gdy tak naprawdę powinno się ograniczać połączenia według portu, a nie komputera Mac, ale to ich sieć i ich reguły, nawet jeśli tworzy łatwy (ukierunkowany) atak typu „odmowa usługi”, gdybyś sfałszował czyjąś cudzą Adres MAC.

Biorąc https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-wireless-access-points-on-a-network jako punkt wyjścia wydaje się całkiem jasne, że każda przyzwoita infrastruktura bezprzewodowa być w stanie wykryć nieuczciwe hotspoty (nawet dd-wrt box może przeprowadzić bezprzewodową ankietę, aby zobaczyć, co jeszcze jest w pobliżu).

Ponieważ administratorzy kontrolują ruch, narzędzia IDS, takie jak Snort, mogą również zostać wykorzystane i dość szybko rozdadzą cię, jeśli administratorzy chętnie znajdą osoby, które nie są zgodne. Niektóre protokoły nawet nie ukrywają, że działają za pośrednictwem NAT ( RFC7239 ma nagłówki http, takie jak przeznaczone X-Forwarded-Forspecjalnie dla serwerów proxy sieci Web). RFC2821 doradza klientom SMTP, aby wysyłali opcjonalny identyfikator, chociaż nie jest to obowiązkowe.

Jedynym sposobem, aby naprawdę ukryć coś takiego, jest wysłanie przez urządzenie, które łączy się z ich siecią, wszystkiego do sieci VPN lub systemu takiego jak TOR, który sam w sobie zwróciłby na siebie uwagę.

Chociaż nie jest to dokładnie ta sama sytuacja, ponieważ wydaje się, że nie mają takich samych ograniczeń, zespół bezpieczeństwa University of Cambridge niezadowolony z używania NAT w swojej sieci, jak widać w zasadach zapory ogniowej i zasad translacji adresów sieciowych, i podaje pewne podstawy swojego rozumowania .

TL; DR - Jeśli chcesz korzystać z większej liczby urządzeń, musisz przejść przez reprezentację systemu i uczniów, aby rozwiązać problemy, które napotykasz, ponieważ jeśli Twoi administratorzy chcą cię złapać, to zrobią to.

Moja sieć wykorzystuje system z detektorami rozmieszczonymi w różnych budynkach, a jeśli pojawi się nieuczciwy identyfikator SSID, faktycznie trianguluje lokalizację urządzenia. System nie jest tani, ale dobry Boże, prawdopodobnie na dłuższą metę jest bardziej opłacalny, jeśli dodasz czas poświęcony na ręczne zarządzanie adresami MAC; to musi być koszmar administracyjny. Ze wszystkich sposobów blokowania systemu, naprawdę nie mogę wymyślić gorszego sposobu na zrobienie tego.

Jak powiedzieli inni, pracuj z administratorami, nie próbuj ich bić. Dzięki dostępnej technologii nie potrzebujesz nawet dobrego administratora sieci, aby cię złapać. Spróbuj zmienić zasady, sprawdź, czy dozwolone są wyjątki itp. W końcu będzie lepiej.

Jak powiedzieli inni, administratorzy mogą wykryć nieuczciwe bezprzewodowe punkty dostępowe. Ale możliwe jest również wykrycie nieautoryzowanych urządzeń poprzez głęboką kontrolę pakietów. Firmy telefonii komórkowej mogą korzystać z głębokiej inspekcji pakietów w celu wykrycia nieautoryzowanego tetheringu. Możesz przeczytać o tym na https://android.stackexchange.com/questions/47819/how-can-phone-companies-detect-tethering-incl-wifi-hotspot . Jeśli zarówno pakiety generowane przez system Windows, jak i pakiety generowane przez system Linux pochodzą z twojego adresu MAC w tym samym czasie, prawdopodobnie masz podłączone więcej niż jedno urządzenie.

Z drugiej strony, głęboka inspekcja pakietów jest droga, a administratorzy mogą nie mieć budżetu na jej wdrożenie. Lub mogą po prostu nie chcieć podejmować takiego wysiłku, aby złapać oszustów. Ale nie wiesz tego na pewno. Prawdopodobnie najlepiej porozmawiać z administratorami i sprawdzić, czy możesz coś wypracować.

Jak wspomniano powyżej, odpowiedź brzmi „tak”. Hotspot Wi-Fi (AP) jest bardzo widoczny. Na przykład punkt aktywny wysyła okresowy sygnał nawigacyjny z adresem MAC. Kontrola pakietów (nagłówki TCP, TTL), kontrola czasu / opóźnienia, jak węzeł reaguje na utratę pakietów, jakie witryny odwiedza (aktualizacja Windows lub PlayStore), nagłówki HTTP generowane przez przeglądarki mogą wskazywać na użycie oprogramowania do routingu i wielu urządzeń . Systemy nie są tanie, ale istnieją.

Twoje opcje to:

• Korzystaj z rozwiązań innych niż bezprzewodowe i módl się, aby głęboka inspekcja pakietów nie była dostępna dla Twojego administratora i nie uruchomiła prostego skryptu, który sprawdza odwiedzane witryny z aktualizacjami oprogramowania.
• Zmniejsz moc transmisji na wszystkich urządzeniach do absolutnego minimum
• Upewnij się, że nie korzystasz z przeglądarek / pakietów oprogramowania specyficznych dla urządzenia. Na przykład ten sam MAC nie będzie korzystał z IE i Androida WebBrowser.