Quản trị viên mạng của tôi có thể biết rằng tôi đang sử dụng bộ định tuyến ảo để truy cập internet trên các thiết bị trái phép của mình không?

Tôi là sinh viên đại học và quản trị viên mạng của trường đại học của tôi sử dụng địa chỉ MAC (1 địa chỉ MAC / sinh viên) để cho phép truy cập internet. Các sinh viên thường xuyên sử dụng các phần mềm định tuyến ảo để tạo một điểm nóng để kết nối với các thiết bị khác của họ (MAC spooofing là một cách giải quyết có thể, nhưng giả mạo trên một thiết bị cầm tay, ví dụ, một thiết bị Android, yêu cầu quyền truy cập root, bản thân nó là một vấn đề khó khăn ).

Gần đây, quản trị viên đã chuyển hướng tất cả các sinh viên không sử dụng các điểm nóng, nếu không, anh ta sẽ trừng phạt những người không tuân thủ (bằng cách xóa địa chỉ MAC của sinh viên khỏi cơ sở dữ liệu MAC được ủy quyền, tôi cho rằng). Tôi có một cảm giác mạnh mẽ rằng anh ta chỉ đơn giản là vô tội vạ.

Câu hỏi của tôi là, quản trị viên có thể biết rằng một thiết bị đang sử dụng định tuyến ảo để kết nối với các thiết bị trái phép khác không?

Lưu ý: Tôi đã thử tìm kiếm tài nguyên trực tuyến, ví dụ: làm thế nào để thực hiện chính xác mạng bộ định tuyến ảo, nhưng tôi không thể tìm thấy bất kỳ thông tin quan trọng nào. Tôi sẽ đánh giá cao ngay cả khi ai đó có thể chỉ cho tôi một số tài nguyên sẽ sử dụng cho tôi.

Có, bạn có thể xác định việc sử dụng điểm phát sóng không dây bằng hệ thống ngăn chặn xâm nhập không dây .

Mục đích chính của WIPS là ngăn chặn truy cập mạng trái phép vào mạng cục bộ và các tài sản thông tin khác bằng các thiết bị không dây. Các hệ thống này thường được triển khai như một lớp phủ cho cơ sở hạ tầng LAN không dây hiện có, mặc dù chúng có thể được triển khai độc lập để thực thi các chính sách không dây trong một tổ chức. Một số cơ sở hạ tầng không dây tiên tiến có tích hợp khả năng WIPS.

Bên cạnh việc chạy xung quanh và phát hiện các điểm nóng thông qua lưu lượng truy cập mạng WLAN ("warwalking"?) Hoặc có thể sử dụng bộ định tuyến hiện có để phát hiện, các mẫu lưu lượng truy cập cũng có thể là một quà tặng - điểm nóng của bạn có chữ ký khác với thiết bị của bạn.

Thay vì làm việc chống lại sysadmin của bạn (vốn là Pita cho cả hai bên), hãy nói chuyện với anh ấy. Tôi không biết tại sao họ có "một quy tắc MAC cho mỗi sinh viên", có lẽ họ có thể thư giãn một chút không? Nói, "hai hoặc ba MAC mỗi học sinh". Không có nhiều rắc rối để quản trị.

Tôi không biết khía cạnh chính trị của đại diện sinh viên hoạt động như thế nào tại trường đại học của bạn, nhưng thường thì sinh viên có thể nói lên sở thích của mình theo một cách nào đó. Vâng, điều này chậm hơn so với việc chỉ thiết lập một điểm nóng, nhưng cũng hiệu quả hơn.

Tôi từng làm trợ lý quản trị mạng cho một trường đại học. Nghe có vẻ như là một vấn đề khác biệt thế hệ hoặc mạng của trường không thể xử lý nhiều hơn 1 thiết bị cho mỗi học sinh, nhân viên, v.v. Có lẽ mỗi học sinh có nhiều thiết bị hơn chính sách cho phép.

Câu trả lời ngắn gọn là CÓ họ có thể phát hiện truy cập trái phép. KHÔNG, đừng làm điều đó. Tôi thường xuyên thu hồi quyền truy cập vì vi phạm mạng (chia sẻ tệp, phần mềm bất hợp pháp, vi rút, khiêu dâm trong phòng thí nghiệm máy tính, v.v.). Nhiều sinh viên đó đã phải nghỉ học, vì học đại học khá khó khăn khi không có máy tính truy cập. Các sinh viên đang phơi bày rủi ro mạng. Điều gì sẽ xảy ra nếu thiết bị trái phép của ai đó truyền vi-rút xóa sạch nghiên cứu và luận án tiến sĩ của bạn? Nếu bạn nghĩ bây giờ nó là một trò đùa, hãy thử nó trong một công việc và xem điều gì sẽ xảy ra.

Làm việc với quản trị viên mạng, chính quyền sinh viên, quản trị viên, v.v. để có thêm quyền truy cập không dây cho "các thiết bị khác của bạn" mà KHÔNG CẦN có trên mạng của trường và / hoặc ở các khu vực chung (như wifi miễn phí ở hầu hết các cửa hàng cà phê ). Điều này ngăn tải trên mạng trường "thực tế" và vẫn cung cấp cho bạn quyền truy cập internet mà bạn muốn.

Tôi có thể nghĩ ra một số cách để phát hiện loại hành vi này trong mạng. Hạn chế không phải là một điều tuyệt vời khi thực sự những gì họ nên làm là giới hạn kết nối bằng cổng chứ không phải mac, nhưng đó là mạng và quy tắc của họ ngay cả khi nó tạo ra một cuộc tấn công từ chối dịch vụ (nhắm mục tiêu) dễ dàng nếu bạn giả mạo người khác Địa chỉ MAC.

Lấy https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-w dũng-access-points-on- a-network làm điểm khởi đầu có vẻ khá rõ ràng rằng bất kỳ cơ sở hạ tầng không dây tốt nào cũng sẽ rõ ràng có thể phát hiện các điểm nóng giả mạo (ngay cả hộp dd-wrt cũng có thể thực hiện khảo sát không dây để xem những gì khác xung quanh.)

Vì quản trị viên kiểm soát lưu lượng, các công cụ IDS như Snort cũng có thể được mang theo và sẽ cho bạn đi khá nhanh nếu quản trị viên muốn tìm những người không tuân thủ. Một số giao thức thậm chí không che giấu rằng chúng đang hoạt động thông qua NAT ( RFC7239 có các tiêu đề http như X-Forwarded-Forđặc biệt được sử dụng bởi các proxy web.) RFC2821 khuyên khách hàng SMTP gửi một số nhận dạng tùy chọn mặc dù không bắt buộc.

Cách duy nhất bạn thực sự có thể che giấu thứ gì đó tương tự là để thiết bị kết nối với mạng của họ gửi mọi thứ ra VPN hoặc hệ thống như TOR, chính điều đó sẽ gây sự chú ý theo hướng của bạn.

Mặc dù không hoàn toàn giống với tình huống mà chúng dường như không có cùng các hạn chế, nhóm bảo mật của Đại học Cambridge đã cau mày khi sử dụng NAT trong mạng của họ như được thấy trong chính sách Dịch thuật Địa chỉ Mạng và Tường lửa và cung cấp một số thông tin cơ bản về lý do của họ .

TL; DR - Nếu bạn muốn sử dụng nhiều thiết bị hơn thì bạn cần phải thông qua hệ thống và đại diện sinh viên để giải quyết các vấn đề bạn gặp phải, bởi vì nếu quản trị viên của bạn muốn bắt bạn thì họ sẽ làm.

Mạng của tôi sử dụng một hệ thống có các máy dò được đặt cách nhau khắp các tòa nhà và nếu SSID giả mạo xuất hiện, nó sẽ thực sự định hình vị trí của thiết bị. Hệ thống không rẻ, nhưng Chúa ơi, về lâu dài có lẽ sẽ hiệu quả hơn về chi phí nếu bạn thêm thời gian quản lý địa chỉ MAC thủ công; đó phải là một cơn ác mộng hành chính. Trong tất cả các cách để khóa hệ thống, tôi thực sự không thể nghĩ ra cách nào tệ hơn để làm điều đó.

Như những người khác đã nói, làm việc với quản trị viên, đừng cố gắng đánh bại họ. Với công nghệ có sẵn ngày nay, bạn thậm chí không cần một quản trị viên mạng giỏi để bắt bạn. Cố gắng thay đổi chính sách, xem liệu ngoại lệ có được cho phép không, v.v ... Cuối cùng bạn sẽ tốt hơn.

Như những người khác đã nói, các quản trị viên có thể phát hiện các điểm nóng không dây lừa đảo. Nhưng cũng có thể phát hiện các thiết bị trái phép thông qua kiểm tra gói sâu. Các công ty điện thoại di động có thể sử dụng kiểm tra gói sâu để phát hiện sự trói buộc trái phép. Bạn có thể đọc về nó tại https://android.stackexchange.com/questions/47819/how-can-phone-compiances-detect-tethering-incl-wifi-hotspot . Nếu các gói do Windows tạo và các gói do Linux tạo ra đều xuất phát từ địa chỉ MAC của bạn cùng một lúc, thì có khả năng bạn có nhiều hơn một thiết bị được đính kèm.

Mặt khác, kiểm tra gói sâu rất tốn kém và quản trị viên có thể không có ngân sách để thực hiện. Hoặc đơn giản là họ có thể không sẵn lòng đi đến mức nỗ lực đó để bắt những kẻ gian lận. Nhưng bạn không biết điều đó chắc chắn. Có lẽ tốt nhất là nói chuyện với quản trị viên và xem liệu bạn có thể tìm ra điều gì không.

Như đã đề cập ở trên câu trả lời là có. Một điểm truy cập WiFi (AP) là rất rõ ràng. Ví dụ, một điểm nóng gửi một đèn hiệu định kỳ với địa chỉ MAC. Kiểm tra gói (tiêu đề TCP, TTL), kiểm tra thời gian / độ trễ, cách nút phản ứng với mất gói, trang nào nó truy cập (cập nhật Windows hoặc PlayStore), các tiêu đề HTTP được tạo bởi trình duyệt có thể trỏ đến sử dụng phần mềm định tuyến và nhiều thiết bị . Các hệ thống không rẻ, nhưng chúng tồn tại.

Lựa chọn của bạn là:

• Sử dụng các giải pháp không dây và cầu nguyện rằng kiểm tra gói Deep không có sẵn cho quản trị viên của bạn và cô ấy không chạy một tập lệnh đơn giản để kiểm tra các trang web cập nhật phần mềm đã truy cập.
• Giảm công suất truyền trên tất cả các thiết bị xuống mức tối thiểu
• Đảm bảo rằng bạn không sử dụng các gói trình duyệt / phần mềm cụ thể của thiết bị. Ví dụ: cùng một MAC sẽ không sử dụng IE và Android WebBrowser.