¿Puede mi administrador de red saber que estoy usando un enrutador virtual para acceder a Internet en mis dispositivos no autorizados?

52

Soy un estudiante universitario y el administrador de red de mi universidad utiliza direcciones MAC (1 dirección MAC / estudiante) para autorizar el acceso a Internet. Los estudiantes usan regularmente softwares de enrutamiento virtual para crear un punto de acceso para conectarse a sus otros dispositivos (la suplantación de MAC es una solución alternativa posible, pero la suplantación de identidad en un dispositivo portátil, por ejemplo, un dispositivo Android, requiere acceso a la raíz, lo que en sí mismo es difícil de obtener )

Recientemente, el administrador redirigió a todos los estudiantes para que se abstuvieran de usar puntos de acceso, de lo contrario castigará a aquellos que no cumplan (suponiendo que eliminando la dirección MAC del estudiante de la base de datos de MAC autorizada). Tengo la fuerte sensación de que él simplemente está mintiendo.

Mi pregunta es, ¿es posible que el administrador sepa que un dispositivo está utilizando enrutamiento virtual para conectarse a otros dispositivos no autorizados?

Nota: Intenté buscar recursos en línea, por ejemplo, cómo funciona exactamente la red de enrutadores virtuales, pero no pude encontrar ninguna información sustancial. Agradecería incluso si alguien pudiera señalarme algunos recursos que me serían útiles.

networking Tanmay Garg
fuente

Respuestas:

41

Sí, su uso de un punto de acceso inalámbrico se puede identificar utilizando un sistema inalámbrico de prevención de intrusiones .

El propósito principal de un WIPS es evitar el acceso no autorizado de la red a redes de área local y otros activos de información por dispositivos inalámbricos. Estos sistemas generalmente se implementan como una superposición a una infraestructura LAN inalámbrica existente, aunque pueden implementarse de forma independiente para aplicar políticas no inalámbricas dentro de una organización. Algunas infraestructuras inalámbricas avanzadas tienen capacidades WIPS integradas.

vembutech
fuente
17
No lo sabrán a través de la dirección MAC, pero podrán encontrar el punto wifi no autorizado. En mi último trabajo obtuvimos un mapa de todos los puntos wifi, autorizados y no autorizados, con precisión para una habitación. No restringimos a las personas a una dirección MAC, eso es demasiado limitante, simplemente no queríamos puntos wifi deshonestos. Los estudiantes se quejarían ante la vivienda, el decano, la administración y cualquier persona si intentáramos restringirlos. Descubrimos que el estudiante promedio tenía 3-5 dispositivos en nuestro wifi en dormitorios y 2 para no dormitorios. (Teléfono, tableta, computadora portátil, xbox, playstation, etc.)
MikeP
77
Dependiendo de los otros dispositivos que desee usar, la solución puede ser simplemente conectar la conexión legítima de su máquina a uno o más cables de red y conectarlos. Esos no se encontrarían a menos de una inspección física de la habitación.
SeldomNeedy
2
Una de las formas fáciles de detectar el uso compartido de la conexión es el examen de los valores TTL en los paquetes IP, que se originan en el dispositivo. Hay listas de valores TTL predeterminados para varios sistemas operativos y dispositivos. Si un sistema detecta un TTL de (predeterminado-1, por ejemplo, 127 cuando aparece 128 en la lista de valores predeterminados y 127 no), puede estar bastante seguro de que el paquete proviene de un dispositivo en una conexión compartida. Algunos proveedores de telefonía móvil 3G también usan ese truco.
xmp125a
3
WIPS es la detección de CUALQUIER punto de acceso dentro del alcance de la radio. Un AP sin acceso a la red (o cualquier red) se detectaría igual de bien y volvería loco al administrador.
Agent_L
2
@ xmp125a Puede hacer que su computadora establezca el mismo TTL en todos los paquetes salientes, como el uso de iptables.
v7d8dpo4
38

Además de correr físicamente y detectar puntos de acceso a través del tráfico WLAN ("warwalking"?), O tal vez usar el enrutador existente para detectarlos, los patrones de tráfico también pueden ser un regalo: su punto de acceso tiene una firma diferente a la de su dispositivo.

En lugar de trabajar en contra de su administrador de sistemas (que es un PITA para ambas partes), hable con él. No sé por qué tienen la "regla de un MAC por estudiante", ¿tal vez puedan relajarla un poco? Diga, "dos o tres MAC por estudiante". No hay muchos más problemas para administrar.

No sé cómo funciona el lado político de la representación estudiantil en su universidad, pero a menudo los estudiantes pueden expresar sus intereses de alguna manera. Sí, esto es más lento que solo configurar un punto de acceso, pero también es más efectivo.

dirkt
fuente
3
De hecho, los puntos de acceso existentes [no los enrutadores] tienen tales características de detección, especialmente las que vienen con un controlador central, como UniFi, muestran una lista de todos los puntos de acceso `` corruptos '' detectados en cualquier parte del edificio.
Grawity
3
En cuanto a los múltiples MAC, tal vez simplemente no quieran el trabajo extra (tener que agregar la dirección MAC de cada estudiante a las listas blancas de los enrutadores es realmente molesto). Quizás eventualmente descubran que pueden hacer inicios de sesión con contraseña.
Grawity
1
Hola, gracias por la respuesta! Y buena idea, seguro que me pondré en contacto con el director de la asociación de estudiantes :) @grawity, buena sugerencia Discutiré esto con el administrador :)
Tanmay Garg
17
@grawity Aún mejor, podrían convertirse en parte de algo como eduroam para que tengan un inicio de sesión con contraseña que también funcione en otras universidades de todo el mundo.
Bakuriu
El software wifi empresarial (Cisco hace uno) puede proporcionar un mapa real de todos los dispositivos autorizados y no autorizados y sus ubicaciones. Fácil de encontrar.
MikeP
20

Solía ​​trabajar como asistente de administrador de red para una universidad. Parece un problema de diferencia generacional o la red de la escuela no puede manejar más de 1 dispositivo para cada estudiante, miembro del personal, etc. Probablemente cada estudiante tenga más dispositivos de lo que permite la política.

La respuesta corta es SÍ, pueden detectar el acceso no autorizado. NO, no lo hagas. Rutinariamente revoqué el acceso por infracciones de la red (uso compartido de archivos, software ilegal, virus, pornografía en los laboratorios de computadoras, etc.). Muchos de esos estudiantes tuvieron que abandonar la escuela, porque la universidad es bastante difícil sin acceso a una computadora. Los estudiantes están exponiendo la red al riesgo. ¿Qué pasa si el dispositivo no autorizado de alguien pasa un virus que borró su tesis y su investigación doctoral? Si crees que es una broma ahora, pruébalo en el trabajo y mira qué sucede.

Trabaje con el administrador de la red, el gobierno estudiantil, la administración, etc. para obtener acceso inalámbrico adicional para "sus otros dispositivos" que NO DEBEN estar en la red de la escuela y / o en áreas comunes (como el wifi gratuito en la mayoría de las cafeterías) ) Esto evita la carga en la red escolar "real" y aún así le brinda el acceso a Internet que desea.

Jon Milliken
fuente
16
Esto suena más como empujar la responsabilidad al estudiante al ofrecer un servicio de ISP paralizado deliberadamente.
Marzo Ho
10
Todos los Starbucks parecen ser capaces de gestionar cualquier "riesgo" planteado al permitir que cualquier dispositivo se conecte a la red sin problemas, y una universidad no puede.
Random832
20
La universidad es esencialmente un ISP. Simplemente considere la red como 'hostil' o 'insegura'. Nunca mezcle elementos de red "seguros" con ningún sistema de estudiantes, personal o empleados. Es un mundo BYOD (s) en la escuela y en el trabajo.
MikeP
21
¿Qué pasa si el dispositivo no autorizado de alguien pasa un virus que borró su tesis y su investigación doctoral? ¿Qué pasa si un dispositivo autorizado hizo lo mismo? En todo caso, los dispositivos móviles no autorizados son probablemente un riesgo menor para la red que las computadoras autorizadas, ya que generalmente son menos susceptibles a virus / malware.
duskwuff
11
¿Qué pasa si el dispositivo no autorizado de alguien pasa un virus que borró su tesis y su investigación doctoral? <<< entonces, ¿estaría bien si fuera una computadora autorizada? ¿Cómo influye la limitación de las direcciones MAC en esto? Si la red es vulnerable a ataques, es responsabilidad del administrador. Si una empresa tiene una política BYOD, (debería) tener la infraestructura para administrar dispositivos infectados, etc. No es una tarea difícil (o costosa) crear una red segura para dispositivos inseguros. - Arriesgar la tesis de alguien como resultado de esto sería puramente incompetente.
Michael B
7

Se me ocurren varias maneras de detectar este tipo de comportamiento en una red. La restricción no es muy buena cuando realmente lo que deberían hacer es limitar las conexiones por puerto en lugar de mac, pero es su red y sus reglas, incluso si crea un ataque de denegación de servicio fácil (dirigido) si engañas a alguien más. Dirección MAC.

Tomando https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-wireless-access-points-on-a-network como punto de partida, parece bastante claro que cualquier infraestructura inalámbrica decente ser capaz de detectar puntos de acceso no autorizados (incluso un cuadro dd-wrt puede hacer una encuesta inalámbrica para ver qué más hay).

Dado que los administradores controlan el tráfico, las herramientas de IDS como Snort también se pueden aplicar y lo delatarían con bastante rapidez si los administradores quisieran encontrar personas que no cumplieran. Algunos protocolos ni siquiera ocultan que están operando a través de NAT ( RFC7239 tiene encabezados http como X-Forwarded-Forespecíficamente para uso de servidores proxy web). RFC2821 recomienda a los clientes SMTP que envíen un identificador opcional, aunque no es obligatorio.

La única forma en que realmente podría ocultar algo así es hacer que el dispositivo que se conecta a su red envíe todo a una VPN o sistema como TOR, lo que en sí mismo llamaría la atención en su dirección.

Si bien no es exactamente la misma situación, ya que no parecen tener las mismas restricciones, el equipo de seguridad de la Universidad de Cambridge desaprueba el uso de NAT en su red como se ve en la política de Firewalls y Network Address Translation y proporciona algunos antecedentes sobre su razonamiento .

TL; DR : si desea usar más dispositivos, debe pasar por el sistema y la representación de los estudiantes para abordar los problemas que enfrenta, porque si sus administradores quieren atraparlo, lo harán.

James Snell
fuente
1
¡+1 para el comentario de VPN! Definitivamente una forma fácil de ocultar todo el tráfico. Dudo que llame la atención ... solo dígale al administrador que es por trabajo o algo así. es decir. te estás conectando a una VPN laboral y no puedes divulgar ninguna otra información que no sea esa. lol
maplemale
@maplemale: sospecho mucho que cualquier administrador de sistemas que se preocupe por la cantidad de direcciones mac en uso se preocuparía absolutamente por encontrar el tráfico tor / vpn.
James Snell
No entiendo cómo se podría saber si una VPN privada está en uso. Puedo ver cómo se puede detectar y bloquear una VPN pública a través de una lista conocida de IP. Pero, a menos que el administrador del sistema esté buscando el protocolo identificado a nivel de paquete (es poco probable que tenga un firewall tan sofisticado), ¿cómo podría uno decir que incluso está usando una VPN? Y segundo, ¿por qué les importaría? Parece probable que el personal y los estudiantes usen VPN en toda la red regularmente por razones legítimas. Intentar bloquear el tráfico VPN parece una pendiente resbaladiza. ¿Cuántos estudiantes estás evitando que tengan trabajos paralelos?
maplemale
@maplemale: pude ver a alguien haciendo eso en mi red y no es tan avanzado. El resto parece una buena pregunta para buscar aquí y preguntar si no puede encontrar la respuesta. Personalmente, si fuera administrador allí, tendría cosas que decir sobre alguien haciendo un agujero a través de mi firewall (s) a quien solo sabe dónde; especialmente en una universidad dado el interés de los hackers patrocinados por el estado en atacar instalaciones de investigación. Al menos me gustaría tener una 'conversación' bastante profunda sobre lo que está sucediendo, después de desconectarte ...
James Snell
Si "no es tan avanzado", ¿por qué no explicarlo? "El resto" fue más una declaración que una pregunta.
maplemale
5

Mi red utiliza un sistema que tiene detectores espaciados en todos los edificios, y si aparece un SSID falso, en realidad triangulará la ubicación del dispositivo. El sistema no es barato, pero Dios mío, probablemente sea más rentable a largo plazo si sumas el tiempo que pasas administrando manualmente las direcciones MAC; eso tiene que ser una pesadilla administrativa. De todas las formas de bloquear un sistema, realmente no puedo pensar en una peor manera de hacerlo.

Como han dicho otros, trabaja con los administradores, no intentes vencerlos. Con la tecnología disponible en estos días, ni siquiera necesita un buen administrador de red para atraparlo. Intente cambiar las políticas, vea si se permiten excepciones, etc. Al final estará mejor.

DroolTwist
fuente
¿Qué pasa si ocultas el SSID? Además, el escaneo SSID no es factible, ya que podría ser un enrutador 4G o un teléfono configurado para la conexión, no necesariamente conectado a la red local.
TJJ
Entonces, si un usuario activa la conexión en su teléfono o compra un enrutador 4G, aparecerá ...
TJJ
3

Como otros han dicho, es posible que los administradores detecten puntos de acceso inalámbricos falsos. Pero también es posible detectar dispositivos no autorizados a través de una inspección profunda de paquetes. Las compañías de telefonía móvil pueden usar la inspección profunda de paquetes para detectar el anclaje no autorizado. Puede leerlo en https://android.stackexchange.com/questions/47819/how-can-phone-companies-detect-tethering-incl-wifi-hotspot . Si los paquetes generados por Windows y los paquetes generados por Linux provienen de su dirección MAC al mismo tiempo, es probable que tenga más de un dispositivo conectado.

Por otro lado, la inspección profunda de paquetes es costosa y los administradores pueden no tener el presupuesto para implementarla. O simplemente podrían no estar dispuestos a ir a ese nivel de esfuerzo para atrapar a los tramposos. Pero no lo sabes con seguridad. Probablemente sea mejor hablar con los administradores y ver si puedes resolver algo.

Jonathan
fuente
1

Como se mencionó anteriormente, la respuesta es sí. Un punto de acceso WiFi (un AP) es muy visible. Por ejemplo, un punto de acceso envía una baliza periódica con la dirección MAC. Inspección de paquetes (encabezados TCP, TTL), inspección de tiempo / latencia, cómo responde el nodo a la pérdida de paquetes, qué sitios visita (actualización de Windows o PlayStore), los encabezados HTTP generados por los navegadores pueden apuntar a usar un software de enrutamiento y múltiples dispositivos . Los sistemas no son baratos, pero existen.

Sus opciones son:

  • Use soluciones no inalámbricas y ore para que la inspección profunda de paquetes no esté disponible para su administrador y no esté ejecutando un script simple que verifique los sitios de actualización de software visitados.
  • Reduzca la potencia de transmisión en todos los dispositivos al mínimo absoluto
  • Asegúrese de no estar utilizando navegadores / paquetes de software específicos del dispositivo. Por ejemplo, el mismo MAC no usará IE y Android WebBrowser.
Larytet
fuente