Kann mein Netzwerkadministrator wissen, dass ich einen virtuellen Router verwende, um auf meinen nicht autorisierten Geräten auf das Internet zuzugreifen?

Ich bin Student und der Netzwerkadministrator meiner Universität verwendet MAC-Adressen (1 MAC-Adresse / Student), um den Zugang zum Internet zu autorisieren. Die Schüler verwenden regelmäßig virtuelle Routing-Software, um einen Hotspot für die Verbindung mit ihren anderen Geräten zu erstellen (MAC-Spooofing ist eine mögliche Problemumgehung. Für das Spoofing auf einem Handheld-Gerät, z. B. einem Android-Gerät, ist jedoch Root-Zugriff erforderlich ).

Vor kurzem hat der Administrator alle Schüler angewiesen, keine Hotspots zu verwenden. Andernfalls wird er diejenigen bestrafen, die die Anforderungen nicht erfüllen (ich nehme an, indem er die MAC-Adresse des Schülers aus der autorisierten MAC-Datenbank entfernt). Ich habe das starke Gefühl, dass er einfach nur blufft.

Meine Frage lautet: Kann der Administrator überhaupt wissen, dass ein Gerät über virtuelles Routing eine Verbindung zu anderen nicht autorisierten Geräten herstellt?

Hinweis: Ich habe versucht, online nach Ressourcen zu suchen, z. B. wie genau das Netzwerk der virtuellen Router funktioniert, konnte jedoch keine wesentlichen Informationen finden. Ich würde mich freuen, wenn jemand mich auf einige Ressourcen hinweisen könnte, die für mich von Nutzen wären.

Ja, Ihre Verwendung eines drahtlosen Hotspots kann mithilfe eines drahtlosen Intrusion Prevention-Systems identifiziert werden .

Der Hauptzweck von WIPS besteht darin, den nicht autorisierten Netzwerkzugriff auf lokale Netzwerke und andere Informationsressourcen durch drahtlose Geräte zu verhindern. Diese Systeme werden in der Regel als Overlay für eine vorhandene WLAN-Infrastruktur implementiert, obwohl sie möglicherweise eigenständig bereitgestellt werden, um Richtlinien ohne WLAN innerhalb einer Organisation durchzusetzen. Einige fortschrittliche drahtlose Infrastrukturen verfügen über integrierte WIPS-Funktionen.

Neben dem physischen Herumlaufen und Erkennen von Hotspots über WLAN-Verkehr ("Warwalking"?) Oder dem Verwenden des vorhandenen Routers zum Erkennen von Verkehrsmustern kann dies auch ein Werbegeschenk sein - Ihr Hotspot hat eine andere Signatur als Ihr Gerät.

Anstatt gegen Ihren Sysadmin (der für beide Seiten eine PITA ist) zu arbeiten, sprechen Sie mit ihm. Ich weiß nicht, warum sie die "one MAC per student rule" haben, vielleicht können sie sich etwas entspannen? Sagen Sie "zwei oder drei MACs pro Schüler". Nicht mehr viel Mühe zu verwalten.

Ich weiß nicht , wie sich die politische Seite der Studentenvertretung an Ihrer Uni arbeitet, aber oft Studenten können ihre Interessen in irgendeiner Weise äußern. Ja, dies ist langsamer als das Einrichten eines Hotspots, aber auch effektiver.

Ich habe als Assistent eines Netzwerkadministrators für ein College gearbeitet. Es klingt wie ein Generationsunterschied, oder das Netzwerk der Schule kann nicht mehr als ein Gerät für jeden Schüler, Mitarbeiter usw. verwalten. Wahrscheinlich verfügt jeder Schüler über mehr Geräte, als die Richtlinie zulässt.

Die kurze Antwort lautet JA, sie können unbefugten Zugriff erkennen. NEIN, tu es nicht. Ich habe routinemäßig den Zugriff für Netzwerkverstöße (Dateifreigabe, illegale Software, Viren, Pornografie in den Computerlabors usw.) widerrufen. Viele dieser Schüler mussten die Schule verlassen, weil das College ohne Computerzugang ziemlich schwierig ist. Die Schüler setzen das Netzwerk einem Risiko aus. Was passiert, wenn auf einem nicht autorisierten Gerät eines Benutzers ein Virus aufgetreten ist, der Ihre Doktorarbeit und Dissertation gelöscht hat? Wenn Sie jetzt denken, dass es ein Witz ist, versuchen Sie es bei einem Job und sehen Sie, was passiert.

Arbeiten Sie mit dem Netzwerkadministrator, der Studentenregierung, der Verwaltung usw. zusammen, um zusätzlichen drahtlosen Zugang für "Ihre anderen Geräte" zu erhalten, die nicht im Netzwerk der Schule und / oder in öffentlichen Bereichen (wie dem kostenlosen WLAN in den meisten Cafés) verfügbar sein müssen ). Dies verhindert, dass das "tatsächliche" Schulnetzwerk belastet wird, und bietet Ihnen dennoch den gewünschten Internetzugang.

Ich kann mir eine Handvoll Möglichkeiten vorstellen, um diese Art von Verhalten in einem Netzwerk zu erkennen. Die Einschränkung ist nicht besonders wichtig, wenn sie Verbindungen eher nach Port als nach Mac einschränken sollen. Es ist jedoch ihr Netzwerk und ihre Regeln, auch wenn dies zu einer leichten (gezielten) Denial-of-Service-Attacke führt, wenn Sie die eines anderen fälschen MAC-Adresse.

Unter https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-wireless-access-points-on-a-network als Ausgangspunkt scheint es ziemlich klar , dass jede anständige drahtlose Infrastruktur würde in der lage zu sein, schurken hotspots zu erkennen

Da die Administratoren den Datenverkehr kontrollieren, können IDS-Tools wie Snort ebenfalls zum Tragen gebracht werden und würden Sie ziemlich schnell verraten, wenn die Administratoren Leute finden möchten, die nicht konform sind. Einige Protokolle verbergen nicht einmal, dass sie über NAT ausgeführt werden ( RFC7239 verfügt über HTTP-Header, die X-Forwarded-Forspeziell für die Verwendung durch Web-Proxys geeignet sind .) RFC2821 empfiehlt SMTP-Clients, eine optionale Kennung zu senden, obwohl dies nicht obligatorisch ist.

Die einzige Möglichkeit, so etwas wirklich zu verbergen, besteht darin, dass das Gerät, das eine Verbindung zu seinem Netzwerk herstellt, alles an ein VPN oder ein System wie TOR sendet , was an sich schon Aufmerksamkeit in Ihre Richtung erregen würde.

Das Sicherheitsteam der University of Cambridge sieht die Verwendung von NAT in ihrem Netzwerk zwar nicht genau so, wie es scheint, als ob sie nicht die gleichen Einschränkungen aufweisen, sieht dies jedoch nicht so, wie es in den Richtlinien für Firewalls und Network Address Translation zu sehen ist, und liefert Hintergrundinformationen zu ihren Überlegungen .

TL; DR - Wenn Sie mehr Geräte verwenden möchten, müssen Sie das System und die Schülervertretung durchgehen, um die Probleme zu lösen, mit denen Sie konfrontiert sind. Wenn Ihre Admins Sie abfangen möchten, werden sie es tun.

In meinem Netzwerk wird ein System mit Detektoren verwendet, die über die Gebäude verteilt sind. Wenn eine falsche SSID angezeigt wird, wird der Standort des Geräts tatsächlich trianguliert. Das System ist nicht billig, aber auf lange Sicht ist es wahrscheinlich kostengünstiger, wenn Sie die Zeit addieren, die Sie für die manuelle Verwaltung von MAC-Adressen aufgewendet haben. Das muss ein administrativer Albtraum sein. Von allen Möglichkeiten, ein System zu sperren, kann ich mir keine schlechtere vorstellen.

Wie andere gesagt haben, arbeite mit den Admins, versuche nicht, sie zu besiegen. Mit der verfügbaren Technologie in diesen Tagen brauchen Sie nicht einmal einen guten Netzwerkadministrator, um Sie zu fangen. Versuchen Sie, Richtlinien zu ändern, prüfen Sie, ob Ausnahmen zulässig sind usw. Am Ende ist es besser für Sie.

Wie andere bereits gesagt haben, ist es den Administratoren möglich, unerwünschte drahtlose Hotspots zu erkennen. Es ist aber auch möglich, nicht autorisierte Geräte durch Deep Packet Inspection zu erkennen. Mobilfunkunternehmen können Deep Packet Inspection verwenden, um nicht autorisiertes Tethering zu erkennen. Sie können darüber lesen unter https://android.stackexchange.com/questions/47819/how-can-phone-companies-detect-tethering-incl-wifi-hotspot . Wenn Windows-generierte Pakete und Linux-generierte Pakete gleichzeitig von Ihrer MAC-Adresse stammen, ist es wahrscheinlich, dass Sie mehr als ein Gerät angeschlossen haben.

Auf der anderen Seite ist eine eingehende Paketinspektion teuer, und die Administratoren haben möglicherweise nicht das Budget, um sie zu implementieren. Oder sie sind einfach nicht gewillt, sich so viel Mühe zu geben, um Betrüger zu fangen. Aber das weißt du nicht genau. Es ist wahrscheinlich am besten, mit den Administratoren zu sprechen und zu sehen, ob Sie etwas ausarbeiten können.

Wie oben erwähnt lautet die Antwort ja. Ein WiFi-Hotspot (ein AP) ist sehr gut sichtbar. Beispielsweise sendet ein Hotspot ein periodisches Signal mit der MAC-Adresse. Paketinspektion (TCP-Header, TTL), Überprüfung von Timing / Latenz, wie der Knoten auf Paketverlust reagiert, welche Sites er besucht (Windows-Update oder PlayStore), von den Browsern generierte HTTP-Header können auf die Verwendung einer Routing-Software und mehrerer Geräte hinweisen . Die Systeme sind nicht billig, aber sie existieren.

Ihre Möglichkeiten sind:

• Verwenden Sie nicht-drahtlose Lösungen und beten Sie, dass die Deep Packet Inspection für Ihren Administrator nicht verfügbar ist und er kein einfaches Skript ausführt, mit dem die besuchten Softwareupdatesites überprüft werden.
• Reduzieren Sie die Sendeleistung aller Geräte auf ein absolutes Minimum
• Stellen Sie sicher, dass Sie keine gerätespezifischen Browser / Softwarepakete verwenden. Beispielsweise wird der gleiche MAC nicht IE und Android WebBrowser verwenden.