Meu administrador de rede pode saber que estou usando um roteador virtual para acessar a Internet em meus dispositivos não autorizados?

52

Sou estudante universitário e o administrador de rede da minha universidade usa endereços MAC (1 endereço MAC / aluno) para autorizar o acesso à Internet. Os alunos usam regularmente softwares de roteamento virtual para criar um ponto de acesso para conectar-se a outros dispositivos (o spooofing de MAC é uma solução possível, mas a falsificação em um dispositivo portátil, por exemplo, um dispositivo Android, requer acesso root, o que é uma dor para ganhar. )

Recentemente, o administrador redirecionou todos os alunos para não usar pontos de acesso, caso contrário ele punirá aqueles que não cumprirem (removendo o endereço MAC do aluno do banco de dados autorizado de MACs, suponho). Tenho uma forte sensação de que ele está simplesmente blefando.

Minha pergunta é: é possível ao administrador saber que um dispositivo está usando o roteamento virtual para se conectar a outros dispositivos não autorizados?

Nota: Tentei procurar recursos online, por exemplo, como funcionam exatamente os roteadores virtuais, mas não consegui encontrar nenhuma informação substancial. Eu apreciaria mesmo que alguém pudesse me indicar alguns recursos que seriam úteis para mim.

networking Tanmay Garg
fonte

Respostas:

41

Sim, o uso de um ponto de acesso sem fio pode ser identificado usando um sistema de prevenção de intrusões sem fio .

O objetivo principal de um WIPS é impedir o acesso não autorizado da rede a redes locais e outros ativos de informações por dispositivos sem fio. Esses sistemas geralmente são implementados como uma sobreposição a uma infraestrutura de LAN sem fio existente, embora possam ser implantados de maneira independente para impor políticas de não-conexão em uma organização. Algumas infraestruturas sem fio avançadas possuem recursos WIPS integrados.

vembutech
fonte
17
Eles não saberão através do endereço MAC, mas poderão encontrar o ponto wifi não autorizado. No meu último trabalho, obtivemos um mapa de todos os pontos wifi, autorizados e não autorizados, precisos para geralmente uma sala. Não restringimos as pessoas a um endereço MAC, isso é muito limitante, apenas não queremos pontos Wi-Fi não autorizados. Os alunos reclamariam com moradia, reitor, administração e qualquer pessoa se tentássemos restringi-los. Descobrimos que o aluno médio tinha de 3 a 5 dispositivos em nosso wifi em dormitórios e 2 para não-dormitório. (Telefone, tablet, laptop, xbox, playstation etc.)
MikeP
7
Dependendo dos outros dispositivos que você deseja usar, a solução pode ser apenas conectar a conexão legítima da sua máquina a um ou mais cabos de rede e conectá-los. Aqueles não seriam encontrados sem uma inspeção física da sala.
SeldomNeedy 15/09/16
2
Uma das maneiras fáceis de detectar o compartilhamento de conexão é o exame dos valores TTL em pacotes IP, originários do dispositivo. Existem listas de valores TTL padrão para vários sistemas operacionais e dispositivos. Se um sistema detectar um TTL de (padrão-1, por exemplo, 127 quando 128 aparecer na lista de padrões e 127 não), pode ter certeza de que o pacote veio de um dispositivo em uma conexão compartilhada. Alguns provedores de celular 3G também usam esse truque.
precisa saber é o seguinte
3
WIPS é a detecção de QUALQUER ponto de acesso dentro do alcance do rádio. Um ponto de acesso sem acesso à rede (ou qualquer rede) também seria detectado e deixaria o administrador louco.
Agent_L 16/09/16
2
@ xmp125a Ele pode fazer com que seu computador defina o mesmo TTL em todos os pacotes de saída, como o uso de iptables.
V7d8dpo4
38

Além de percorrer fisicamente e detectar pontos de acesso via tráfego WLAN ("warwalking"?), Ou talvez usar o roteador existente para detectá-los, os padrões de tráfego também podem ser uma oferta - o seu ponto de acesso tem uma assinatura diferente do seu dispositivo.

Em vez de trabalhar contra o administrador do sistema (que é um PITA para os dois lados), converse com ele. Não sei por que eles têm a "regra de um MAC por aluno", talvez eles possam relaxar um pouco? Diga "dois ou três MACs por aluno". Não há muito mais problemas para administrar.

Não sei como o lado político da representação estudantil funciona na sua universidade, mas muitas vezes os alunos podem expressar seus interesses de alguma maneira. Sim, isso é mais lento do que apenas configurar um ponto de acesso, mas também é mais eficaz.

dirkt
fonte
3
De fato, os pontos de acesso existentes [não os roteadores] possuem esses recursos de detecção - especialmente os que vêm com um controlador central, como o UniFi, mostram uma lista de todos os APs “não autorizados” detectados em qualquer lugar do edifício.
grawity
3
Quanto a vários MACs, talvez eles simplesmente não desejem o trabalho extra (ter que adicionar o endereço MAC de cada aluno às listas brancas dos roteadores é irritante). Talvez, eventualmente, eles descubram que podem fazer logins com senhas.
grawity
11
Ei, obrigado pela resposta! E boa idéia, eu com certeza entrará em contato com a associação de estudantes cabeça :) @grawity, agradável sugestão vou discutir isso com o administrador :)
Tanmay Garg
17
@grawity Ainda melhor, eles podem se tornar parte de algo como o eduroam, para que tenham um login com senha que também funcione em outras universidades ao redor do mundo.
Bakuriu 15/09/16
O software wifi corporativo (a Cisco faz um) pode fornecer um mapa real de todos os dispositivos não autorizados e autorizados e suas localizações. Fácil de encontrar.
Mikep
20

Eu trabalhava como assistente de administrador de rede para uma faculdade. Parece um problema de diferença geracional ou a rede da escola não pode lidar com mais de um dispositivo para cada aluno, membro da equipe etc. Provavelmente, todo aluno tem mais dispositivos do que a política permite.

A resposta curta é SIM, eles podem detectar o acesso não autorizado. NÃO, não faça isso. Eu revoguei rotineiramente o acesso a violações de rede (compartilhamento de arquivos, software ilegal, vírus, pornografia nos laboratórios de informática, etc.). Muitos desses alunos tiveram que sair da escola, porque a faculdade é bastante difícil sem acesso ao computador. Os alunos estão expondo a rede a riscos. E se o dispositivo não autorizado de alguém passasse por um vírus que limpou sua pesquisa e tese de doutorado? Se você acha que é uma piada agora, tente em um emprego e veja o que acontece.

Trabalhe com o administrador da rede, o governo estudantil, a administração etc. para obter acesso sem fio adicional para "seus outros dispositivos" que NÃO PRECISAM estar na rede da escola e / ou em áreas comuns (como o Wi-Fi gratuito na maioria das cafeterias) ) Isso evita a carga na rede escolar "real" e ainda oferece o acesso à Internet que você deseja.

Jon Milliken
fonte
16
Isso parece mais com a responsabilidade do aluno, oferecendo um serviço ISP deliberadamente aleijado.
March Ho
10
Todo starbucks parece capaz de gerenciar qualquer "risco" apresentado, permitindo que qualquer dispositivo se conecte à rede sem problemas, e uma universidade não pode?
usar o seguinte código
20
A universidade é essencialmente um ISP. Simplesmente considere a rede como 'hostil' ou 'não segura'. Nunca misture coisas de rede 'seguras' com qualquer sistema de alunos, funcionários ou funcionários. É um mundo BYOD (s) na escola e no trabalho.
Mikep
21
E se o dispositivo não autorizado de alguém passasse por um vírus que limpou sua pesquisa e tese de doutorado? E se um dispositivo autorizado fizesse a mesma coisa? De qualquer forma, os dispositivos móveis não autorizados são provavelmente um risco menor para a rede do que os computadores autorizados, pois geralmente são menos suscetíveis a vírus / malware.
precisa saber é o seguinte
11
E se o dispositivo não autorizado de alguém passasse por um vírus que limpou sua pesquisa e tese de doutorado? <<< então seria bom se fosse um computador autorizado? como a limitação de endereços MAC tem alguma influência nisso? Se a rede estiver vulnerável a ataques, é de responsabilidade do administrador. Se uma empresa possui uma política de BYOD, ela deve ter a infraestrutura para gerenciar os dispositivos infectados, etc. Não é uma tarefa difícil (ou cara) criar uma rede segura para dispositivos não seguros. - Arriscar a tese de alguém como resultado disso seria puramente incompetente.
Michael B
7

Posso pensar em várias maneiras de detectar esse tipo de comportamento em uma rede. A restrição não é boa quando realmente o que eles devem fazer é limitar as conexões por porta, em vez de mac, mas é a rede e as regras deles, mesmo que isso crie um ataque fácil (direcionado) de negação de serviço, se você for enganar alguém. Endereço MAC.

Tomando https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-wireless-access-points-on-a-network como ponto de partida, parece bastante claro que qualquer infraestrutura sem fio decente ser capaz de detectar pontos de acesso não autorizados (mesmo uma caixa dd-wrt pode fazer uma pesquisa sem fio para ver o que mais existe).

Como os administradores controlam o tráfego, ferramentas IDS como o Snort também podem ser utilizadas e o denunciariam rapidamente se os administradores desejassem encontrar pessoas que não eram compatíveis. Alguns protocolos nem escondem que estão operando através do NAT (o RFC7239 possui cabeçalhos http X-Forwarded-Forespecificamente para uso por proxies da Web.) O RFC2821 aconselha os clientes SMTP a enviar um identificador opcional, embora não seja obrigatório.

A única maneira de ocultar algo assim é fazer com que o dispositivo que se conecta à rede envie tudo para uma VPN ou sistema como o TOR, o que por si só chamaria a atenção em sua direção.

Embora não seja exatamente a mesma situação em que parece não ter as mesmas restrições, a equipe de segurança da Universidade de Cambridge desaprova o uso do NAT em sua rede, como visto na política de Firewalls e tradução de endereços de rede, além de fornecer alguns antecedentes sobre o seu raciocínio. .

TL; DR - Se você quiser usar mais dispositivos, precisará passar pela representação do sistema e dos alunos para resolver os problemas que está enfrentando, porque se seus administradores quiserem pegá-lo, eles o farão.

James Snell
fonte
11
+1 para o comentário da VPN! Definitivamente, é uma maneira fácil de esconder todo o tráfego. Duvido que isso chame a atenção ... diga ao administrador que é para trabalho ou algo assim. ie você está se conectando a uma VPN de trabalho e não tem permissão para divulgar outras informações além disso. lol
maplemale
@ maplemale - Eu suspeito muito que qualquer administrador de sistema que se importe com o número de endereços mac em uso se importe absolutamente em encontrar tráfego tor / vpn.
James Snell
Eu não entendo como alguém saberia se uma VPN privada está em uso? Posso ver como uma VPN pública pode ser detectada e bloqueada por meio de uma lista conhecida de IPs. Mas, a menos que o administrador do sistema esteja procurando o protocolo identificado no nível do pacote (improvável que ele tenha um firewall tão sofisticado), como se poderia dizer que você está usando uma VPN? E segundo, por que eles se importariam? Parece provável que as VPNs sejam usadas em toda a rede por funcionários e alunos regularmente por razões legítimas. Tentar bloquear o tráfego da VPN parece uma ladeira escorregadia. Como, quantos alunos você está impedindo de ter empregos paralelos?
Maplemale 27/09/16
@ maplemale - Eu pude pegar alguém fazendo isso na minha rede e não é tão avançado. O restante parece uma boa pergunta para você procurar aqui e perguntar se não consegue encontrar a resposta. Pessoalmente, se eu fosse administrador lá, teria algo a dizer sobre alguém fazer um buraco no meu firewall para quem só sabe onde; especialmente em uma universidade, dado o interesse de hackers patrocinados pelo estado em atacar instalações de pesquisa. Eu pelo menos quero ter um bastante 'bate-papo' em profundidade sobre o que está acontecendo, depois de eu ter desconectado você ...
James Snell
Se não é "tão avançado", por que não explicar? "O resto" era mais uma afirmação do que uma pergunta.
maplemale 27/09/16
5

Minha rede utiliza um sistema que possui detectores espaçados pelos prédios e, se um SSID não autorizado aparecer, ele triangulará a localização do dispositivo. O sistema não é barato, mas bom Deus, provavelmente é mais econômico a longo prazo se você aumentar o tempo gasto gerenciando manualmente os endereços MAC; isso tem que ser um pesadelo administrativo. De todas as maneiras de bloquear um sistema, eu realmente não consigo pensar em uma maneira pior de fazê-lo.

Como outros já disseram, trabalhe com os administradores, não tente vencê-los. Com a tecnologia disponível atualmente, você nem precisa de um bom administrador de rede para capturá-lo. Tente alterar as políticas, veja se as exceções são permitidas etc. Você estará melhor no final.

DroolTwist
fonte
E se você ocultar o SSID? Além disso, a digitalização SSID não é viável, pois também pode ser um roteador ou telefone 4G configurado para amarrar, não necessariamente conectado à rede local.
TJJ
Portanto, se um usuário ativar o compartilhamento no telefone ou comprar um roteador 4G, ele aparecerá ...
TJJ
3

Como outros já disseram, é possível que os administradores detectem pontos de acesso sem fio não autorizados. Mas também é possível detectar dispositivos não autorizados através de inspeção profunda de pacotes. As empresas de telefonia móvel podem usar a inspeção profunda de pacotes para detectar a amarração não autorizada. Você pode ler sobre isso em https://android.stackexchange.com/questions/47819/how-can-phone-companies-detect-tethering-incl-wifi-hotspot . Se os pacotes gerados pelo Windows e os pacotes gerados pelo Linux vierem do seu endereço MAC ao mesmo tempo, é provável que você tenha mais de um dispositivo conectado.

Por outro lado, a inspeção profunda de pacotes é cara e os administradores podem não ter o orçamento para implementá-la. Ou eles podem simplesmente não querer ir a esse nível de esforço para pegar trapaceiros. Mas você não sabe ao certo. Provavelmente, é melhor conversar com os administradores e ver se você consegue resolver alguma coisa.

Jonathan
fonte
1

Como mencionado acima, a resposta é sim. Um ponto de acesso WiFi (um ponto de acesso) é muito visível. Por exemplo, um ponto de acesso envia um sinalizador periódico com o endereço MAC. Inspeção de pacotes (cabeçalhos TCP, TTL), inspeção de tempo / latência, como o nó responde à perda de pacotes, quais sites ele visita (atualização do Windows ou PlayStore), cabeçalhos HTTP gerados pelos navegadores podem apontar para usar um software de roteamento e vários dispositivos . Os sistemas não são baratos, mas existem.

Suas opções são:

  • Use soluções não sem fio e reze para que a inspeção profunda de pacotes não esteja disponível para o seu administrador e ela não esteja executando um script simples que verifique os sites de atualização de software visitados.
  • Reduza a potência de transmissão em todos os dispositivos para o mínimo absoluto
  • Verifique se você não está usando navegadores / pacotes de software específicos do dispositivo. Por exemplo, o mesmo MAC não usará o IE e o Android WebBrowser.
Larytet
fonte