Czy mój administrator sieci wie, że korzystam z routera wirtualnego, aby uzyskać dostęp do Internetu na moich nieautoryzowanych urządzeniach?

52

Jestem studentem uniwersytetu, a administrator sieci mojego uniwersytetu używa adresów MAC (1 adres MAC / student), aby autoryzować dostęp do Internetu. Uczniowie regularnie używają oprogramowania do routingu wirtualnego, aby utworzyć punkt dostępu do łączenia się z innymi urządzeniami (fałszowanie adresów MAC to jedno z możliwych obejść, ale fałszowanie na urządzeniu przenośnym, na przykład urządzeniu z Androidem, wymaga dostępu do konta root, co samo w sobie jest utrudnieniem ).

Niedawno administrator przekierował wszystkich uczniów, aby powstrzymali się od korzystania z hotspotów, w przeciwnym razie ukarze tych, którzy nie będą przestrzegać (usuwając adres MAC ucznia z autoryzowanej bazy danych MAC, jak sądzę). Mam silne przeczucie, że po prostu blefuje.

Moje pytanie brzmi: czy administrator może w ogóle wiedzieć, że urządzenie używa routingu wirtualnego do łączenia się z innymi nieautoryzowanymi urządzeniami?

Uwaga: próbowałem szukać zasobów online, na przykład, w jaki sposób dokładnie sieć wirtualnych routerów, ale nie mogłem znaleźć żadnych istotnych informacji. Byłbym wdzięczny, nawet gdyby ktoś mógł wskazać mi zasoby, które byłyby dla mnie przydatne.

networking Tanmay Garg
źródło

Odpowiedzi:

41

Tak, korzystanie z bezprzewodowego punktu dostępowego można zidentyfikować za pomocą bezprzewodowego systemu zapobiegania włamaniom .

Głównym celem WIPS jest zapobieganie nieautoryzowanemu dostępowi sieci do sieci lokalnych i innych zasobów informacyjnych przez urządzenia bezprzewodowe. Systemy te są zazwyczaj implementowane jako nakładka na istniejącą infrastrukturę bezprzewodowej sieci LAN, chociaż mogą być wdrażane jako samodzielne w celu egzekwowania zasad braku łączności bezprzewodowej w organizacji. Niektóre zaawansowane infrastruktury bezprzewodowe mają zintegrowane funkcje WIPS.

vembutech
źródło
17
Nie będą wiedzieć za pośrednictwem adresu MAC, ale będą mogli znaleźć nieautoryzowany punkt Wi-Fi. W mojej ostatniej pracy dostaliśmy mapę wszystkich punktów Wi-Fi, autoryzowanych i nieautoryzowanych, z dokładnością do pokoju. Nie ograniczaliśmy ludzi do jednego adresu MAC, co jest zbyt ograniczające, po prostu nie chcieliśmy fałszywych punktów Wi-Fi. Studenci narzekaliby na mieszkania, dziekana, administrację i kogokolwiek, gdybyśmy próbowali je ograniczyć. Okazało się, że przeciętny student miał 3-5 urządzeń w naszym wifi w akademikach i 2 w nie-akademiku. (Telefon, tablet, laptop, xbox, playstation itp.)
MikeP
7
W zależności od innych urządzeń, których chcesz użyć, rozwiązaniem może być po prostu połączenie legalnego połączenia z komputera z jednym lub kilkoma kablami sieciowymi i podłączenie do nich. Nie można ich znaleźć bez fizycznej inspekcji pokoju.
SeldomNeedy
2
Jednym z łatwych sposobów wykrywania współdzielenia połączenia jest badanie wartości TTL w pakietach IP pochodzących z urządzenia. Istnieją listy domyślnych wartości TTL dla różnych systemów operacyjnych i urządzeń. Jeśli system wykryje TTL wynoszące (domyślnie-1, np. 127, gdy 128 pojawi się na liście wartości domyślnych, a 127 nie), może być całkiem pewne, że pakiet pochodzi z urządzenia w połączeniu współdzielonym. Niektórzy operatorzy komórkowi 3G również stosują tę sztuczkę.
xmp125a,
3
WIPS wykrywa WSZYSTKIE punkty dostępu w zasięgu radiowym. AP bez dostępu do sieci (lub dowolnej sieci) zostałby równie dobrze wykryty i doprowadziłby administratora do szaleństwa.
Agent_L
2
@ xmp125a Może sprawić, aby jego komputer ustawiał taki sam TTL dla wszystkich wychodzących pakietów, na przykład używając iptables.
v7d8dpo4,
38

Poza fizycznym bieganiem i wykrywaniem hotspotów za pośrednictwem ruchu WLAN („warwalking”?), A może za pomocą istniejącego routera do wykrycia, wzorce ruchu mogą być również podarunkiem - twój hotspot ma inną sygnaturę niż twoje urządzenie.

Zamiast działać przeciwko swojemu administratorowi systemu (który jest PITA dla obu stron), porozmawiaj z nim. Nie wiem, dlaczego mają zasadę „jeden MAC na ucznia”, może może trochę to rozluźnią? Powiedz „dwa lub trzy adresy MAC na ucznia”. Niewiele więcej problemów z administrowaniem.

Nie wiem, jak polityczna strona reprezentacji studentów działa na twoim uniwersytecie, ale często studenci mogą w jakiś sposób wyrazić swoje zainteresowania. Tak, jest to wolniejsze niż samo ustanowienie hotspotu, ale także bardziej skuteczne.

reż
źródło
3
Istniejące punkty dostępowe [nie routery] w rzeczywistości mają takie funkcje wykrywania - zwłaszcza te, które są dostarczane z centralnym kontrolerem, takim jak UniFi, pokazują listę wszystkich „nieuczciwych” AP wykrytych w dowolnym miejscu w budynku.
grawity
3
Jeśli chodzi o wiele adresów MAC, może po prostu nie chcą dodatkowej pracy (dodawanie adresu MAC każdego ucznia do białej listy routerów jest z pewnością denerwujące). Może w końcu odkryją, że zamiast tego mogą logować się za pomocą hasła.
grawity
1
Hej, dzięki za odpowiedź! I fajny pomysł, na pewno skontaktuję się z dyrektorem stowarzyszenia studenckiego :) @grawity, fajna sugestia Porozmawiam o tym z administratorem :)
Tanmay Garg
17
@grawity Co więcej, mogą stać się częścią czegoś takiego jak eduroam , aby mieć login do hasła, który działa również na innych uniwersytetach na całym świecie.
Bakuriu
Oprogramowanie Wi-Fi dla przedsiębiorstw (Cisco to robi) może zapewnić rzeczywistą mapę wszystkich autoryzowanych nieautoryzowanych urządzeń i ich lokalizacji. Łatwe do znalezienia.
MikeP
20

Pracowałem jako asystent administratora sieci na studiach. Brzmi to jak problem różnicy pokoleń lub sieć szkoły nie może obsłużyć więcej niż 1 urządzenia dla każdego ucznia, członka personelu itp. Prawdopodobnie każdy uczeń ma więcej urządzeń niż pozwala na to polityka.

Krótka odpowiedź brzmi TAK, mogą wykryć nieautoryzowany dostęp. NIE, nie rób tego. Rutynowo cofałem dostęp z powodu naruszeń sieci (udostępnianie plików, nielegalne oprogramowanie, wirusy, pornografia w laboratoriach komputerowych itp.). Wielu z tych uczniów musiało opuścić szkołę, ponieważ college jest dość trudny bez dostępu do komputera. Uczniowie narażają sieć na ryzyko. Co się stanie, jeśli czyjeś nieautoryzowane urządzenie przeszło wirusa, który zniszczył twoje badania i pracę doktorską? Jeśli uważasz, że to żart, wypróbuj go w pracy i zobacz, co się stanie.

Współpracuj z administratorem sieci, samorządem studenckim, administracją itp., Aby uzyskać dodatkowy dostęp bezprzewodowy dla „innych twoich urządzeń”, które NIE POTRZEBUJĄ być w sieci szkolnej i / lub w obszarach wspólnych (np. Darmowe Wi-Fi w większości kawiarni) ). Zapobiega to obciążeniu „rzeczywistej” sieci szkolnej i nadal zapewnia dostęp do Internetu, którego potrzebujesz.

Jon Milliken
źródło
16
To brzmi bardziej jak przekazanie odpowiedzialności studentowi, oferując celowo sparaliżowaną usługę ISP.
Marzec Ho
10
Wydaje się, że każdy starbucks jest w stanie poradzić sobie z jakimkolwiek „ryzykiem”, pozwalając każdemu urządzeniu na dobre połączenie z siecią, a uniwersytet nie może?
Random832
20
Uniwersytet jest zasadniczo dostawcą usług internetowych. Po prostu uważaj sieć za „wrogą” lub „niezabezpieczoną”. Nigdy nie mieszaj „bezpiecznych” elementów sieciowych z żadnym systemem studenckim, nauczycielskim lub pracowniczym. To świat BYOD (y) w szkole i pracy.
MikeP
21
Co się stanie, jeśli czyjeś nieautoryzowane urządzenie przeszło wirusa, który zniszczył twoje badania i pracę doktorską? Co jeśli autoryzowane urządzenie zrobiło to samo? W każdym razie nieautoryzowane urządzenia mobilne stanowią prawdopodobnie mniejsze zagrożenie dla sieci niż autoryzowane komputery, ponieważ są one ogólnie mniej podatne na wirusy / złośliwe oprogramowanie.
duskwuff
11
Co się stanie, jeśli czyjeś nieautoryzowane urządzenie przeszło wirusa, który zniszczył twoje badania i pracę doktorską? <<< więc byłoby dobrze, gdyby był to autoryzowany komputer? w jaki sposób ograniczenie adresów MAC ma na to wpływ? Jeśli sieć jest podatna na atak, odpowiedzialność ponoszą administratorzy. Jeśli firma ma zasady BYOD, powinna (powinna) dysponować infrastrukturą do zarządzania zainfekowanymi urządzeniami itp. Utworzenie bezpiecznej sieci dla niezabezpieczonych urządzeń nie jest trudne (ani kosztowne). - Ryzykowanie czyjąś tezą w wyniku tego byłoby czysto niekompetentne.
Michael B
7

Mogę wymyślić kilka sposobów na wykrycie tego rodzaju zachowania w sieci. Ograniczenie to nie jest świetne, gdy tak naprawdę powinno się ograniczać połączenia według portu, a nie komputera Mac, ale to ich sieć i ich reguły, nawet jeśli tworzy łatwy (ukierunkowany) atak typu „odmowa usługi”, gdybyś sfałszował czyjąś cudzą Adres MAC.

Biorąc https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-wireless-access-points-on-a-network jako punkt wyjścia wydaje się całkiem jasne, że każda przyzwoita infrastruktura bezprzewodowa być w stanie wykryć nieuczciwe hotspoty (nawet dd-wrt box może przeprowadzić bezprzewodową ankietę, aby zobaczyć, co jeszcze jest w pobliżu).

Ponieważ administratorzy kontrolują ruch, narzędzia IDS, takie jak Snort, mogą również zostać wykorzystane i dość szybko rozdadzą cię, jeśli administratorzy chętnie znajdą osoby, które nie są zgodne. Niektóre protokoły nawet nie ukrywają, że działają za pośrednictwem NAT ( RFC7239 ma nagłówki http, takie jak przeznaczone X-Forwarded-Forspecjalnie dla serwerów proxy sieci Web). RFC2821 doradza klientom SMTP, aby wysyłali opcjonalny identyfikator, chociaż nie jest to obowiązkowe.

Jedynym sposobem, aby naprawdę ukryć coś takiego, jest wysłanie przez urządzenie, które łączy się z ich siecią, wszystkiego do sieci VPN lub systemu takiego jak TOR, który sam w sobie zwróciłby na siebie uwagę.

Chociaż nie jest to dokładnie ta sama sytuacja, ponieważ wydaje się, że nie mają takich samych ograniczeń, zespół bezpieczeństwa University of Cambridge niezadowolony z używania NAT w swojej sieci, jak widać w zasadach zapory ogniowej i zasad translacji adresów sieciowych, i podaje pewne podstawy swojego rozumowania .

TL; DR - Jeśli chcesz korzystać z większej liczby urządzeń, musisz przejść przez reprezentację systemu i uczniów, aby rozwiązać problemy, które napotykasz, ponieważ jeśli Twoi administratorzy chcą cię złapać, to zrobią to.

James Snell
źródło
1
+1 za komentarz VPN! Zdecydowanie łatwy sposób na ukrycie całego ruchu. Wątpię, żeby to zwróciło uwagę ... po prostu powiedz administratorowi, że to do pracy czy coś. to znaczy. łączysz się z działającym VPNem i nie możesz ujawniać żadnych innych informacji. lol
maplemale 16.09.16
@maplemale - Podejrzewam, że każdy sysadmin, który troszczy się o liczbę używanych adresów mac, absolutnie zależy na znalezieniu ruchu tor / vpn.
James Snell
Nie rozumiem, skąd można by wiedzieć, czy używana jest prywatna sieć VPN? Widzę, jak można wykryć i zablokować publiczną sieć VPN za pomocą znanej listy adresów IP. Ale jeśli sysadmin nie szuka protokołu zidentyfikowanego na poziomie pakietu (jest mało prawdopodobne, że ma tak zaawansowaną zaporę ogniową), jak można powiedzieć, że korzystasz z VPN? Po drugie, dlaczego mieliby się przejmować? Wygląda na to, że sieci VPN są używane przez personel i studentów regularnie w całej sieci z uzasadnionych powodów. Próba zablokowania ruchu VPN wygląda na śliskie nachylenie. Na przykład, ilu uczniom przeszkadza ci praca dodatkowa?
maplemale
@maplemale - mogłem złapać kogoś robiącego to w mojej sieci i to nie jest tak zaawansowane. Reszta brzmi jak dobre pytanie, które możesz tu znaleźć i zapytać, czy nie możesz znaleźć odpowiedzi. Osobiście, gdybym był tam administratorem, miałbym coś do powiedzenia na temat kogoś, kto wykopał dziurę przez mój firewall (s), a kto wie tylko gdzie; zwłaszcza na uniwersytecie, biorąc pod uwagę zainteresowanie sponsorowanych przez państwo hakerów atakowaniem obiektów badawczych. Chciałbym przynajmniej przeprowadzić dość pogłębioną „pogawędkę” o tym, co się dzieje, po tym jak rozłączyłem cię ...
James Snell
Jeśli nie jest „tak zaawansowany”, dlaczego nie wyjaśnić? „Reszta” była bardziej stwierdzeniem niż pytaniem.
maplemale 27.09.16
5

Moja sieć wykorzystuje system z detektorami rozmieszczonymi w różnych budynkach, a jeśli pojawi się nieuczciwy identyfikator SSID, faktycznie trianguluje lokalizację urządzenia. System nie jest tani, ale dobry Boże, prawdopodobnie na dłuższą metę jest bardziej opłacalny, jeśli dodasz czas poświęcony na ręczne zarządzanie adresami MAC; to musi być koszmar administracyjny. Ze wszystkich sposobów blokowania systemu, naprawdę nie mogę wymyślić gorszego sposobu na zrobienie tego.

Jak powiedzieli inni, pracuj z administratorami, nie próbuj ich bić. Dzięki dostępnej technologii nie potrzebujesz nawet dobrego administratora sieci, aby cię złapać. Spróbuj zmienić zasady, sprawdź, czy dozwolone są wyjątki itp. W końcu będzie lepiej.

DroolTwist
źródło
Co jeśli ukryjesz SSID? Ponadto skanowanie SSID nie jest możliwe, ponieważ może to być router 4G lub telefon ustawiony na tethering, niekoniecznie podłączony do sieci lokalnej.
TJJ
Jeśli więc użytkownik aktywuje tethering na swoim telefonie lub kupi router 4G, pojawi się ...
TJJ
3

Jak powiedzieli inni, administratorzy mogą wykryć nieuczciwe bezprzewodowe punkty dostępowe. Ale możliwe jest również wykrycie nieautoryzowanych urządzeń poprzez głęboką kontrolę pakietów. Firmy telefonii komórkowej mogą korzystać z głębokiej inspekcji pakietów w celu wykrycia nieautoryzowanego tetheringu. Możesz przeczytać o tym na https://android.stackexchange.com/questions/47819/how-can-phone-companies-detect-tethering-incl-wifi-hotspot . Jeśli zarówno pakiety generowane przez system Windows, jak i pakiety generowane przez system Linux pochodzą z twojego adresu MAC w tym samym czasie, prawdopodobnie masz podłączone więcej niż jedno urządzenie.

Z drugiej strony, głęboka inspekcja pakietów jest droga, a administratorzy mogą nie mieć budżetu na jej wdrożenie. Lub mogą po prostu nie chcieć podejmować takiego wysiłku, aby złapać oszustów. Ale nie wiesz tego na pewno. Prawdopodobnie najlepiej porozmawiać z administratorami i sprawdzić, czy możesz coś wypracować.

Jonathan
źródło
1

Jak wspomniano powyżej, odpowiedź brzmi „tak”. Hotspot Wi-Fi (AP) jest bardzo widoczny. Na przykład punkt aktywny wysyła okresowy sygnał nawigacyjny z adresem MAC. Kontrola pakietów (nagłówki TCP, TTL), kontrola czasu / opóźnienia, jak węzeł reaguje na utratę pakietów, jakie witryny odwiedza (aktualizacja Windows lub PlayStore), nagłówki HTTP generowane przez przeglądarki mogą wskazywać na użycie oprogramowania do routingu i wielu urządzeń . Systemy nie są tanie, ale istnieją.

Twoje opcje to:

  • Korzystaj z rozwiązań innych niż bezprzewodowe i módl się, aby głęboka inspekcja pakietów nie była dostępna dla Twojego administratora i nie uruchomiła prostego skryptu, który sprawdza odwiedzane witryny z aktualizacjami oprogramowania.
  • Zmniejsz moc transmisji na wszystkich urządzeniach do absolutnego minimum
  • Upewnij się, że nie korzystasz z przeglądarek / pakietów oprogramowania specyficznych dla urządzenia. Na przykład ten sam MAC nie będzie korzystał z IE i Androida WebBrowser.
Larytet
źródło