Может ли мой сетевой администратор знать, что я использую виртуальный маршрутизатор для доступа в Интернет на неавторизованных устройствах?

52

Я студент университета, и администратор сети моего университета использует MAC-адреса (1 MAC-адрес / студент) для авторизации доступа в Интернет. Студенты регулярно используют программы виртуальной маршрутизации для создания точки доступа для подключения к своим другим устройствам (одно из возможных решений - спуфинг MAC, но для подмены на портативном устройстве, например, на устройстве Android, требуется root-доступ, что само по себе является проблемой для получения доступа). ).

Недавно администратор перенаправил всех студентов, чтобы они воздерживались от использования горячих точек, в противном случае он накажет тех, кто не соблюдает правила (я полагаю, удалив MAC-адрес студента из авторизованной базы данных MAC). У меня сильное чувство, что он просто блефует.

Мой вопрос: может ли администратор вообще знать, что устройство использует виртуальную маршрутизацию для подключения к другим неавторизованным устройствам?

Примечание: я пытался искать ресурсы в Интернете, например, как именно работает сеть виртуальных маршрутизаторов, но я не смог найти какой-либо существенной информации. Я был бы признателен, даже если бы кто-то мог указать мне на некоторые ресурсы, которые были бы полезны для меня.

networking Tanmay Garg
источник

Ответы:

41

Да, использование беспроводной точки доступа может быть идентифицировано с помощью беспроводной системы предотвращения вторжений .

Основной целью WIPS является предотвращение несанкционированного доступа к беспроводной сети в локальные сети и другие информационные ресурсы. Эти системы обычно реализуются как наложение на существующую инфраструктуру беспроводной локальной сети, хотя они могут быть развернуты автономно для обеспечения применения политик без беспроводной связи в организации. Некоторые передовые беспроводные инфраструктуры имеют встроенные возможности WIPS.

vembutech
источник
17
Они не узнают через MAC-адрес, но смогут найти неавторизованную точку доступа Wi-Fi. На моей последней работе мы получили карту всех точек Wi-Fi, авторизованных и не авторизованных, с точностью до комнаты. Мы не ограничивали людей одним MAC-адресом, который слишком ограничен, мы просто не хотели использовать мошеннические точки доступа Wi-Fi. Студенты будут жаловаться на жилье, декана, администрацию и всех, если мы попытаемся ограничить их. Мы обнаружили, что средний студент имел 3-5 устройств на нашем Wi-Fi в общежитиях и 2 для не общежития. (Телефон, планшет, ноутбук, xbox, playstation и т. Д.)
MikeP
7
В зависимости от других устройств, которые вы хотите использовать, решение может заключаться в том, чтобы соединить законное соединение от вашей машины с одним или несколькими сетевыми кабелями и подключить к ним. Те не будут найдены за исключением физического осмотра комнаты.
SeldomNeedy
2
Одним из простых способов обнаружения совместного использования соединения является проверка значений TTL в IP-пакетах, исходящих от устройства. Существуют списки значений TTL по умолчанию для различных операционных систем и устройств. Если система обнаруживает TTL (по умолчанию-1, например 127, когда 128 появляется в списке значений по умолчанию, а 127 нет), она может быть почти уверена, что пакет поступил с устройства по общему соединению. Некоторые провайдеры мобильной связи 3G также используют этот прием.
xmp125a
3
WIPS - это обнаружение ЛЮБЫХ точек доступа в радиусе действия радиосвязи. Точка доступа без доступа к сети (или к любой другой сети) также будет обнаружена и сведет с ума администратора.
Agent_L
2
@ xmp125a Он может заставить свой компьютер устанавливать одинаковый TTL для всех исходящих пакетов, например, используя iptables.
v7d8dpo4
38

Помимо физического бега вокруг и обнаружения горячих точек через трафик WLAN («варварство»?), Или, возможно, с использованием существующего маршрутизатора для обнаружения, шаблоны трафика также могут быть бесплатной - ваша горячая точка имеет подпись, отличную от вашего устройства.

Вместо того, чтобы работать против вашего сисадмина (который является PITA для обеих сторон), поговорите с ним. Я не знаю, почему у них есть «один MAC на правило студента», может, они могут немного расслабиться? Скажем, «два или три MAC на студента». Не намного больше проблем для администрирования.

Я не знаю, как работает политическая сторона студенческого представительства в вашем университете, но часто студенты могут каким-то образом высказать свои интересы. Да, это медленнее, чем просто установка точки доступа, но и более эффективно.

dirkt
источник
3
Существующие точки доступа [не маршрутизаторы] действительно имеют такие функции обнаружения - особенно те, которые поставляются с центральным контроллером, таким как UniFi, показывают список всех «мошеннических» точек доступа, обнаруженных в любом месте здания.
благодарность
3
Что касается нескольких MAC-адресов, возможно, они просто не хотят дополнительной работы (необходимость добавить MAC-адрес каждого учащегося в белый список маршрутизаторов, безусловно, раздражает). Возможно, в конце концов они поймут, что могут вместо этого делать пароли.
благодарность
1
Эй, спасибо за ответ! И хорошая идея, я уверен, что свяжусь с главой студенческой ассоциации :) @ grawity, хорошее предложение, я буду обсуждать это с администратором :)
Tanmay Garg
17
@ grawity Более того, они могут стать частью чего-то вроде eduroam, так что у них будет логин с паролем, который работает и в других университетах по всему миру.
Бакуриу
Корпоративное программное обеспечение Wi-Fi (Cisco делает один) может предоставить фактическую карту всех авторизованных неавторизованных устройств и их местоположения. Легко найти.
MikeP 15.09.16
20

Я работал помощником сетевого администратора в колледже. Это звучит как проблема различий между поколениями, или школьная сеть не может обрабатывать более 1 устройства для каждого учащегося, сотрудника и т. Д. Вероятно, у каждого учащегося есть больше устройств, чем позволяет политика.

Краткий ответ: ДА, они могут обнаружить несанкционированный доступ. НЕТ, не делай этого. Я обычно аннулирован доступ к сети (нарушения обмена файлами, незаконное программное обеспечение, вирусы, порно в компьютерных лабораториях, и т.д.). Многим из этих учеников пришлось покинуть школу, потому что в колледже довольно сложно без доступа к компьютеру. Студенты подвергают сеть риску. Что, если чье-то несанкционированное устройство передало вирус, который уничтожил ваши докторские исследования и диссертацию? Если вы думаете, что это шутка, попробуйте на работе и посмотрите, что получится.

Работайте с сетевым администратором, администрацией студентов, администрацией и т. Д., Чтобы получить дополнительный беспроводной доступ для «других ваших устройств», которые НЕ ДОЛЖНЫ быть в сети школы и / или в местах общего пользования (например, бесплатный Wi-Fi в большинстве кафе ). Это предотвращает нагрузку на «настоящую» школьную сеть и все еще дает вам доступ в интернет, который вы хотите.

Джон Милликен
источник
16
Это больше похоже на передачу ответственности студенту, предлагая преднамеренно ограниченную услугу интернет-провайдера.
Март Хо
10
Кажется, что каждый starbucks способен справиться с любым «риском», позволяя любому устройству нормально подключаться к сети, а университет не может?
Random832 15.09.16
20
Университет по сути ISP. Просто рассматривайте сеть как «враждебную» или «незащищенную». Никогда не смешивайте «защищенные» сетевые компоненты с системой ученика, персонала или сотрудника. Это мир BYOD в школе и на работе.
MikeP
21
Что, если чье-то несанкционированное устройство передало вирус, который уничтожил ваши докторские исследования и диссертацию? Что если авторизованное устройство сделало то же самое? Во всяком случае, неавторизованные мобильные устройства, вероятно, представляют меньший риск для сети, чем авторизованные компьютеры, так как они обычно менее подвержены вирусам / вредоносным программам.
сумерки
11
Что, если чье-то несанкционированное устройство передало вирус, который уничтожил ваши докторские исследования и диссертацию? <<< так было бы хорошо, если бы это был авторизованный компьютер? Какое влияние на это имеет ограничение MAC-адресов? Если сеть уязвима для атак, это обязанность администратора. Если у компании есть политика BYOD, она (должна) иметь инфраструктуру для управления зараженными устройствами и т. Д. Создание безопасной сети для незащищенных устройств не является сложной (или дорогой) задачей. - Рисковать чей-то тезис в результате этого будет чисто некомпетентно.
Майкл Б.
7

Я могу придумать несколько способов обнаружить такое поведение в сети. Ограничение не является хорошим, когда на самом деле они должны ограничивать соединения по порту, а не по mac, но это их сеть и их правила, даже если это создает легкую (целевую) атаку отказа в обслуживании, если вы собираетесь подделать чужую MAC-адрес.

Принимая https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-wireless-access-points-on-a-network в качестве отправной точки, кажется довольно очевидным, что любая приличная беспроводная инфраструктура быть в состоянии обнаружить мошеннические горячие точки (даже коробка dd-wrt может сделать беспроводную съемку, чтобы увидеть, что еще вокруг.)

Так как администраторы контролируют трафик, инструменты IDS, такие как Snort, также могут быть задействованы и довольно быстро раздадут вас, если администраторы захотят найти людей, которые не соответствуют требованиям. Некоторые протоколы даже не скрывают, что они работают через NAT ( RFC7239 имеет заголовки http, например, X-Forwarded-Forспециально предназначенные для веб-прокси). RFC2821 рекомендует клиентам SMTP отправлять необязательный идентификатор, хотя это и не обязательно.

Единственный способ действительно скрыть что-то подобное - это заставить устройство, которое подключается к их сети, отправлять все в VPN или систему, подобную TOR, что само по себе привлечет внимание в вашем направлении.

Хотя это не совсем та же ситуация, так как кажется, что они не имеют таких же ограничений, команда безопасности Кембриджского университета не одобряет использование NAT в своей сети, как это видно в политике межсетевых экранов и трансляции сетевых адресов, и дает некоторые основания для своих рассуждений. ,

TL; DR - если вы хотите использовать больше устройств, вам нужно пройти через систему и представление студентов, чтобы решить проблемы, с которыми вы сталкиваетесь, потому что, если ваши администраторы захотят вас поймать, они это сделают.

Джеймс Снелл
источник
1
+1 за комментарий VPN! Определенно простой способ скрыть весь трафик. Я сомневаюсь, что это привлечет внимание ... просто скажите администратору, что это для работы или что-то. то есть. вы подключаетесь к рабочему VPN и не имеете права разглашать любую другую информацию, кроме этой. LOL
кленовый суп
@maplemale - я очень подозреваю, что любой системный администратор, который заботится о количестве используемых mac-адресов, абсолютно заботится о поиске трафика tor / vpn.
Джеймс Снелл
Я не понимаю, как можно было бы узнать, используется ли частный VPN? Я вижу, как общедоступный VPN может быть обнаружен и заблокирован через известный список IP-адресов. Но если системный администратор не ищет протокол, идентифицированный на уровне пакетов (маловероятно, что он обладает таким изощренным брандмауэром), как можно сказать, что вы даже используете VPN? И во-вторых, почему они заботятся? Кажется вероятным, что VPN и сотрудники регулярно используют всю сеть по законным причинам. Попытка заблокировать трафик VPN выглядит как скользкий уклон. Мол, сколько студентов вы мешаете иметь побочную работу?
клен
@maplemale - я мог бы поймать кого-то, кто делает это в моей сети, и это не так уж и сложно. Остальное звучит как хороший вопрос для вас, чтобы найти здесь и спросить, если вы не можете найти ответ. Лично, если бы я был там администратором, у меня было бы, что сказать о том, как кто-то пробивает дыру в моем брандмауэре (-ах), кто знает, где только; особенно в университете, учитывая заинтересованность спонсируемых государством хакеров в атаке на исследовательские объекты. По крайней мере, я бы хотел достаточно подробно «поболтать» о том, что происходит, после того, как отключил вас ...
Джеймс Снелл
Если это "не так уж и сложно", почему бы не объяснить? «Остальное» было скорее утверждением, чем вопросом.
Клен
5

В моей сети используется система с детекторами, расположенными по всему зданию, и, если обнаруживается мошеннический SSID, он фактически триангулирует местоположение устройства. Система не дешевая, но, Господи, она, вероятно, более экономична в долгосрочной перспективе, если вы добавите время, потраченное на ручное управление MAC-адресами; это должен быть административный кошмар. Из всех способов заблокировать систему я действительно не могу придумать худшего способа сделать это.

Как уже говорили другие, работайте с админами, не пытайтесь их победить. С доступными технологиями вам даже не нужен хороший сетевой администратор, чтобы поймать вас. Попробуйте изменить политику, посмотрите, разрешены ли исключения, и т. Д. В итоге вам будет лучше.

DroolTwist
источник
Что делать, если вы скрываете SSID? Кроме того, сканирование SSID неосуществимо, так как это может быть также маршрутизатор 4G или телефон, настроенный на модем, не обязательно подключенный к локальной сети.
TJJ
Таким образом, если пользователь активирует модем на своем телефоне или покупает маршрутизатор 4G, он появится ...
TJJ
3

Как уже говорили другие, администраторы могут обнаруживать мошеннические точки беспроводного доступа. Но также возможно обнаружить неавторизованные устройства с помощью глубокой проверки пакетов. Компании мобильной связи могут использовать глубокую проверку пакетов для обнаружения несанкционированного подключения. Вы можете прочитать об этом по адресу https://android.stackexchange.com/questions/47819/how-can-phone-companies-detect-tethering-incl-wifi-hotspot . Если сгенерированные Windows пакеты и сгенерированные Linux пакеты поступают с вашего MAC-адреса одновременно, вероятно, у вас подключено более одного устройства.

С другой стороны, глубокая проверка пакетов обходится дорого, и у администраторов может не хватить средств для ее реализации. Или они могут просто не захотеть идти на такой уровень усилий, чтобы поймать мошенников. Но вы не знаете этого наверняка. Вероятно, лучше поговорить с администраторами и посмотреть, сможете ли вы что-нибудь придумать.

Джонатан
источник
1

Как уже упоминалось выше, ответ - да. Точка доступа WiFi (AP) очень видна. Например, горячая точка посылает периодический маяк с MAC-адресом. Проверка пакетов (заголовки TCP, TTL), проверка времени / задержки, того, как узел реагирует на потерю пакетов, какие сайты он посещает (обновление Windows или PlayStore), HTTP-заголовки, созданные браузерами, могут указывать на использование программного обеспечения для маршрутизации и нескольких устройств. , Системы не дешевые, но они существуют.

Ваши варианты:

  • Используйте не беспроводные решения и молитесь, чтобы глубокая проверка пакетов не была доступна для вашего администратора, и она не запускает простой скрипт, который проверяет посещенные сайты обновления программного обеспечения.
  • Уменьшите мощность передачи на всех устройствах до абсолютного минимума
  • Убедитесь, что вы не используете специфичные для устройства браузеры / программные пакеты. Например, тот же MAC не будет использовать IE и Android WebBrowser.
Larytet
источник