Ağ yöneticim, yetkisiz cihazlarımda internete erişmek için sanal bir yönlendirici kullandığımı bilebilir mi?

Ben bir üniversite öğrencisiyim ve üniversitem ağ yöneticisi internete erişim yetkisi vermek için MAC adreslerini (1 MAC adresi / öğrencisi) kullanıyor. Öğrenciler düzenli olarak diğer cihazlarına bağlanmak için bir sıcak nokta oluşturmak için sanal yönlendirme yazılımları kullanırlar (MAC spooofing olası bir geçici çözümdür, ancak elde taşınan bir cihazın, örneğin bir android cihazdaki sahtecilik, kazanılması gereken bir acı olan kök erişimi gerektirir) ).

Son zamanlarda, yönetici tüm öğrencileri sıcak noktalar kullanmaktan kaçınmaları için yönlendirdi, aksi halde uymayanları cezalandırdı (sanırım öğrencinin MAC adresini yetkili MAC veritabanından kaldırarak). Sadece düz blöf yaptığını hissediyorum.

Sorgu, yöneticinin, bir cihazın diğer yetkisiz cihazlara bağlanmak için sanal yönlendirme kullandığını bilmesi mümkün mü?

Not: Çevrimiçi kaynakları aramaya çalıştım, örneğin sanal yönlendiriciler ağı tam olarak nasıl, ancak önemli bir bilgi bulamadım. Biri beni bana yarar sağlayacak bazı kaynaklara yönlendirebilseydi bile memnun olurum.

Evet, bir kablosuz ortak erişim noktasını kullanımınız bir kablosuz izinsiz giriş önleme sistemi kullanılarak tanımlanabilir .

Bir WIPS'in temel amacı, kablosuz cihazlarla yerel alan ağlarına ve diğer bilgi varlıklarına yetkisiz ağ erişimini önlemektir. Bu sistemler genellikle bir kurum içinde kablosuz olmayan politikaları yürürlüğe koymak üzere bağımsız olarak dağıtılabilmelerine rağmen, mevcut bir Kablosuz LAN altyapısına bir kaplama olarak uygulanır. Bazı gelişmiş kablosuz altyapıların entegre WIPS yetenekleri vardır.

Fiziksel olarak dolaşmanın ve sıcak noktaları WLAN trafiği ("warwalking"?) Aracılığıyla tespit etmenin ya da mevcut yönlendiriciyi o zaman tespit etmek için kullanmanın yanı sıra, trafik kalıpları da bir hediye olabilir - sıcak noktanızın cihazınızdan farklı bir imzası olabilir.

Sysadmin'inize karşı çalışmak yerine (ki her iki taraf için bir PITA), onunla konuş. Neden "öğrenci kuralı başına bir MAC" ye sahip olduklarını bilmiyorum , belki biraz rahatlayabilirler? "Öğrenci başına iki veya üç MAC" deyin. Yönetmek için daha fazla sorun değil.

Öğrenci temsilinin politik tarafının üniversitenizde nasıl çalıştığını bilmiyorum ama çoğu kez öğrenciler çıkarlarını bir şekilde dile getirebilirler . Evet, bu bir sıcak nokta ayarlamaktan daha yavaştır, fakat aynı zamanda daha etkilidir.

Bir kolejde ağ yöneticisi asistanı olarak çalışırdım. Kuşaklar arası bir fark sorunu gibi görünüyor veya okulun ağı her öğrenci, personel üyesi vb. İçin 1'den fazla cihaz kullanamıyor. Muhtemelen her öğrencinin politikanın izin verdiğinden daha fazla cihazı vardır.

Kısa cevap EVET, yetkisiz erişimi tespit edebiliyor. HAYIR yapma Ağ ihlallerine (dosya paylaşımı, yasadışı yazılımlar, virüsler, bilgisayar laboratuvarlarındaki pornolar, vb.) Rutin olarak erişimi iptal ettim. Bu öğrencilerin birçoğu okulu bırakmak zorunda kaldı, çünkü üniversite bilgisayar erişimi olmadan oldukça zor. Öğrenciler ağı tehlikeye atıyorlar. Birinin yetkisiz cihazı, doktora araştırmanızı ve tezinizi silen bir virüs geçirirse ne olur? Bunun şaka olduğunu düşünüyorsanız, bir işte deneyin ve ne olduğunu görün.

Okulun ağında ve / veya ortak alanlarda olması GEREKMEYEN "diğer cihazlarınıza" ek kablosuz erişim sağlamak için ağ yöneticisi, öğrenci hükümeti, yönetim vb. İle çalışın (çoğu kafedeki ücretsiz wifi gibi) ). Bu, "gerçek" okul ağına yüklenmeyi önler ve hala istediğiniz internet erişimini sağlar.

Bir ağda bu tür bir davranışı tespit etmenin birkaç yolunu düşünebilirim. Kısıtlama, gerçekten yapmaları gereken şey, bağlantıları Mac yerine bağlantı noktasıyla sınırlamak olsa da mükemmel değildir, ancak başka birinin kandırması için kolay (hedefli) bir hizmet reddi saldırısı oluştursa bile, onların ağı ve kuralları Mac Adresi.

Alarak https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-wireless-access-points-on-a-network bir başlangıç noktası olarak oldukça açık görünüyor herhangi terbiyeli kablosuz altyapı olur o dolandırıcı noktaları tespit edebilme

Yöneticiler trafiği kontrol ettiğinden, Snort gibi IDS araçları da katlanılabilir ve eğer yöneticiler uyumlu olmayan insanları bulmaya istekliyse çabucak size yardım ederlerdi. Bazı protokoller NAT üzerinden çalıştıklarını bile gizlememektedir ( RFC7239 , X-Forwarded-Forözellikle web proxy'leri tarafından kullanılmak üzere http başlıklarına sahiptir .) RFC2821 , SMTP istemcilerine zorunlu olmasa da isteğe bağlı bir tanımlayıcı göndermelerini önerir.

Böyle bir şeyi gerçekten gizleyebilmenin tek yolu, ağlarına bağlanan cihazın her şeyi TPN gibi bir VPN'ye veya sisteme göndermesini sağlamaktır;

Tam olarak aynı kısıtlamalara sahip olmadıkları gibi görünmese de, Cambridge Üniversitesi güvenlik ekibi, Güvenlik Duvarları ve Ağ Adresi Çevirisi politikasında görüldüğü gibi, ağlarında NAT kullanımı üzerine kaşlarını çattı ve gerekçeleri hakkında biraz bilgi verdi. .

TL; DR - Daha fazla cihaz kullanmak istiyorsanız, karşılaştığınız sorunları gidermek için sisteme ve öğrenci temsiline başvurmanız gerekir, çünkü yöneticileriniz sizi yakalamak isterse o zaman olacaktır.

Ağım, binalara yerleştirilmiş detektörlere sahip bir sistem kullanıyor ve eğer bir SSID belirirse, aslında cihazın yerini üçgenleştirecek. Sistem ucuz değil, ama iyi tanrım, MAC adreslerini elle yönetmek için harcadığınız zamanı toplarsanız, uzun vadede muhtemelen daha uygun maliyetlidir; Bu idari bir kabus olmalı. Bir sistemi kilitlemenin tüm yolları arasında, bunu yapmanın daha kötü bir yolunu düşünemiyorum.

Diğerlerinin dediği gibi, yöneticilerle çalışın, onları yenmeye çalışmayın. Günümüzde mevcut teknolojiyle, sizi yakalamak için iyi bir ağ yöneticisine bile ihtiyacınız yok. Politikaları değiştirmeye çalışın, istisnalara izin verilip verilmediğine bakın. Sonunda daha iyi olursunuz.

Diğerlerinin de dediği gibi, yöneticilerin hileli kablosuz noktaları tespit etmesi mümkündür. Ancak, yetkisiz cihazları derin paket incelemesi yoluyla tespit etmek de mümkündür. Cep telefonu şirketleri, izinsiz bağlamayı tespit etmek için derin paket incelemesini kullanabilir. Https://android.stackexchange.com/questions/47819/how-can-phone-companies-detect-tethering-incl-wifi-hotspot adresinde okuyabilirsiniz . Hem Windows tarafından oluşturulan paketler hem de Linux tarafından üretilen paketler aynı anda MAC adresinizden geliyorsa, bağlı birden fazla cihaza sahip olabilirsiniz.

Öte yandan, derin paket incelemesi pahalıdır ve yöneticiler bunu uygulamak için bütçeye sahip olmayabilir. Ya da hile yapmak için bu seviyedeki çabaya girmekte isteksiz olabilirler. Ama bunu kesin olarak bilmiyorsun. Yöneticilerle konuşmak ve bir şey yapıp yapamayacağınızı görmek muhtemelen en iyisidir.

Yukarıda belirtildiği gibi cevap evet. Bir WiFi etkin noktası (AP) çok görünür. Örneğin bir sıcak nokta MAC adresi ile periyodik bir işaret gönderir. Paket incelemesi (TCP başlıkları, TTL), zamanlama / gecikme durumunun kontrolü, düğümün paket kaybına nasıl tepki vereceği, hangi siteleri ziyaret ettiği (Windows güncelleme veya PlayStore), tarayıcılar tarafından oluşturulan HTTP başlıkları, bir yönlendirme yazılımı ve birden fazla cihaz kullanmaya işaret edebilir . Sistemler ucuz değil ama var.

Seçenekleriniz:

• Kablosuz olmayan çözümler kullanın ve Deep paket denetiminin yöneticiniz için mevcut olmaması ve ziyaret edilen yazılım güncelleme sitelerini kontrol eden basit bir komut dosyası çalıştırmaması için dua edin.
• Tüm cihazlardaki iletim gücünü mutlak minimum seviyeye düşürün
• Aygıta özel tarayıcılar / yazılım paketleri kullanmadığınızdan emin olun. Örneğin, aynı MAC IE ve Android WebBrowser kullanmaz.