Minha universidade me diz que não posso usar um roteador no meu dormitório. Existe alguma maneira de eles saberem?

8

Estamos atrás de algum tipo de roteador Cisco e precisamos nos conectar através do Cisco NAC Agent. O suporte técnico da minha universidade me diz que, se eu conectar um roteador, "todo o edifício perderá o acesso à Internet". Acho isso realmente difícil de acreditar e gostaria de saber: 1. Eles podem dizer se estou usando um roteador e 2. Como eles poderiam dizer se o roteador está usando NAT?

networking routing
fonte
2
Eu não acho que foi uma 'ameaça'. Suspeito que a rede deles, como muitas outras, não possa lidar com um segundo servidor DHCP (como um roteador típico) que apareça repentinamente na rede.
Rushyo 17/01/11
3 respostas, com 10 votos, mas ninguém votou positivamente na pergunta; as pessoas precisam usar o voto positivo com mais frequência :) +1 voto positivo. No meu quarto, estou usando um roteador sem fio conectado à rede da universidade via Ethernet. A Ethernet está conectada à porta WAN. Sem problemas até agora. E conectei um Macbook e um iPod ao mesmo tempo. Eu acho que o principal problema que você pode ter é se você não usar a porta WAN. Mas se você usa a porta WAN, deve ficar bem. Tente.
Nerian
4
Duvido que isso derrube toda a rede, é apenas um aviso para que eles possam legitimamente culpá-lo por quaisquer problemas se você for contra o aviso e a política deles. Não há razão para executar um roteador em um dormitório, basta usar um comutador estúpido se precisar de mais portas.
Moab
Você está tentando evitar comprar outro dispositivo? Se você possui um DSL de 4 portas ou um "roteador" sem fio, entenda que esses dispositivos são realmente switches e roteadores. Se você desabilitar o DHCP no dispositivo, poderá conectar sua conexão de Internet da escola a uma porta LAN e seus outros dispositivos em uma porta LAN e usá-la como um comutador. Não conecte nada à porta WAN.
LawrenceC

Respostas:

8

Adicionando à resposta (correta) do PulpSpy, também é possível detectar roteadores (NAT ou não) observando o campo TTL dos pacotes IP de saída. As estações finais geralmente definem TTL para um número conhecido, como 64, 254 ou algumas outras alternativas, dependendo do sistema operacional. Quando a maioria dos pacotes é um a menos que isso, como 63 e assim por diante, isso indica que houve um salto do roteador no meio.

Jakob Borg
fonte
Isso pode ser contornado redefinindo o TTL no roteador.
Bogdan Maxim
@Bogdan Sure. Porém, muitos roteadores domésticos não têm essa capacidade, e isso quebra as especificações de IP. E, é claro, eles poderiam implantar o DPI e capturá-lo vendo vários cabeçalhos do HTTP User Agent e um milhão de outras maneiras. :)
Jakob Borg
5

Sim, eles provavelmente podem dizer. O roteamento NAT reatribuirá todos os números de porta para manter o tráfego originado de qual computador direto. Como resultado, seu tráfego parecerá estranho e, quando mais de um computador estiver conectado, eles estarão em portas adjacentes. Não seria uma prova, mas o suficiente para atrair atenção se eles estivessem procurando especificamente por ela.


fonte
3

Além do TTL já mencionado nas outras respostas, eles podem estar usando a impressão digital DHCP do seu roteador quando ele obter um IP da porta WAN.

Eu sei disso porque trabalho no NAC de código aberto PacketFence (um concorrente do Cisco NAC) e usamos esses truques.

Aqui está a lista de impressões digitais reconhecidas do DHCP no PacketFence: http://packetfence.org/dhcp_fingerprints.conf

Sabemos que também é usado por outros produtos.

Olivier Bilodeau
fonte
1

Eles podem dizer se o seu dispositivo é um roteador se ele transmite pacotes de roteamento (RIP, OSPF) e pelo endereço MAC da interface Ethernet externa.

Qualquer interface que esteja transmitindo é um dispositivo Cisco (ou outro fornecedor de roteador) atrairá atenção.

Divirta-se aprendendo e tente não ser suspenso no processo!

goodguys_activate
fonte
0

Acho difícil acreditar que os arquitetos de rede de uma universidade se deixariam vulneráveis ​​a uma falha TOTAL da rede, no caso de um aluno conectar um roteador no soquete do dormitório. A chance de um aluno tentar isso é bastante alta (veja este post, por exemplo).

A resposta nítida do Occam é que o cara do suporte técnico provavelmente estava apenas tentando assustá-lo, em vez de dizer que ele simplesmente não sabia.

Além disso, em uma arquitetura ponto a ponto (ao contrário, digamos, do SNA, em que você pode destruir toda a rede fingindo ser o NCP), a probabilidade de algo como um conflito de dispositivo causar uma falha completa da rede é bastante baixa. PODERIA ser que seu roteador recebesse (ou você mesmo o definisse) o mesmo endereço IP de um dos hubs de distribuição do próprio edifício do dormitório, mas também PODERIA ser que um asteróide atingisse seu prédio.

Mas vamos supor que isso aconteça: contanto que o roteador Cisco não seja reinicializado, nada acontece, e seu roteador apenas reclama que não pode obter uma conexão adequada. Além disso, o roteador Cisco provavelmente reportaria a colisão de IP duplicada em um log em algum lugar (que operadores ou administradores de rede notariam).

Greg Gauthier
fonte