Mi universidad me dice que no puedo usar un enrutador en mi dormitorio. ¿Hay alguna manera de que puedan decir?

8

Estamos detrás de algún tipo de enrutadores Cisco y tenemos que conectarnos a través del Agente Cisco NAC. El soporte técnico aquí en mi universidad me dice que si conecto un enrutador "todo el edificio perderá el acceso a Internet". Encuentro esto realmente difícil de creer, y me gustaría saber: 1. ¿Pueden saber si estoy usando un enrutador y 2. ¿Cómo podrían saber si el enrutador está usando NAT?

networking routing therin
fuente
2
No creo que haya sido una 'amenaza'. Sospecho que su red, como muchas otras, no puede manejar un segundo servidor DHCP (como un enrutador típico) que aparece repentinamente en la red.
Rushyo
3 respuestas, con 10 votos pero nadie votó a favor de la pregunta; la gente necesita usar el voto a favor más seguido :) +1 voto a favor. En mi habitación estoy usando un enrutador inalámbrico que está conectado a la red de la universidad a través de Ethernet. Ethernet está conectado al puerto WAN. No hay problemas hasta ahora. Y conecté un Macbook y un iPod al mismo tiempo. Creo que el problema clave que podrías tener es si no usas el puerto WAN. Pero si usa el puerto WAN, debería estar bien. Intentalo.
Nerian
44
Dudo que derribe toda la red, es solo una advertencia para que puedan culparlo legítimamente de cualquier problema si va en contra de su advertencia y política. No hay razón para ejecutar un enrutador en un dormitorio, solo use un interruptor tonto si necesita más puertos.
Moab
¿Estás tratando de evitar comprar otro dispositivo? Si tiene un DSL de 4 puertos o un "enrutador" inalámbrico, comprenda que dichos dispositivos son realmente conmutadores más enrutadores. Si deshabilita DHCP en el dispositivo, puede conectar la conexión a Internet de su escuela en un puerto LAN, y sus otros dispositivos en un puerto LAN, y usarlo como un interruptor. No conecte nada al puerto WAN.
LawrenceC

Respuestas:

8

Además de la respuesta (correcta) de PulpSpy, también es posible detectar enrutadores (NAT o no) mirando el campo TTL de los paquetes IP salientes. Las estaciones finales generalmente configuran TTL en un número conocido, como 64, 254 o algunas otras alternativas dependiendo del sistema operativo. Cuando la mayoría de los paquetes son uno menos que esto, como 63, etc., indica que hubo un salto de enrutador en el medio.

Jakob Borg
fuente
Esto se puede evitar restableciendo el TTL en el enrutador.
Bogdan Maxim
@Bogdan Claro. Sin embargo, no muchos enrutadores domésticos tienen esa capacidad, y esto rompe las especificaciones de IP. Y, por supuesto, podrían implementar DPI y capturarlo al ver diferentes encabezados del Agente de usuario HTTP y un millón de otras formas. :)
Jakob Borg el
5

Sí, probablemente puedan decirlo. El enrutamiento NAT reasignará todos los números de puerto para mantener el tráfico que se originó directamente en cada computadora. Como resultado, su tráfico se verá extraño y cuando más de una computadora esté conectada, normalmente estarán en puertos adyacentes. No sería una prueba, pero suficiente para atraer la atención si la estuvieran buscando específicamente.


fuente
3

Además del TTL ya mencionado en las otras respuestas, podrían estar utilizando la huella digital DHCP de su enrutador cuando obtenga una IP de su puerto WAN.

Lo sé porque trabajo en el NAC de código abierto PacketFence (un competidor de Cisco NAC) y utilizamos tales trucos.

Aquí está la lista de huellas dactilares DHCP reconocidas en PacketFence: http://packetfence.org/dhcp_fingerprints.conf

Sabemos que también lo usan otros productos.

Olivier Bilodeau
fuente
1

Pueden saber si su dispositivo es un enrutador si transmite paquetes de enrutamiento (RIP, OSPF) y por la dirección MAC de la interfaz externa de Ethernet.

Cualquier interfaz que esté transmitiendo es un dispositivo Cisco (u otro proveedor de enrutadores) llamará la atención.

¡Diviértete aprendiendo y trata de no quedarte suspendido en el proceso!

goodguys_activate
fuente
0

Me resulta difícil creer que los arquitectos de redes en una universidad se dejarían vulnerables a una falla TOTAL de la red, en caso de que un estudiante conecte un enrutador a la toma de corriente de su dormitorio. La posibilidad de que un estudiante intente algo así es bastante alta (por ejemplo, esta publicación).

La respuesta de Occam es que el tipo de soporte técnico probablemente solo estaba tratando de asustarte, en lugar de decir que simplemente no lo sabía.

Además, en una arquitectura de igual a igual (a diferencia de, por ejemplo, SNA, donde PUEDE destruir toda la red fingiendo ser el NCP), la probabilidad de que algo como un conflicto de dispositivo que cause una falla completa de la red sea bastante baja. PODRÍA SER que su enrutador reciba de alguna manera (o usted mismo lo defina) la MISMA dirección IP de uno de los centros de distribución del edificio del dormitorio, pero también PODRÍA SER que un asteroide golpee su edificio.

Pero supongamos que sucede: mientras el enrutador Cisco no se reinicie, no pasa nada, y su enrutador solo se queja de que no puede obtener una conexión adecuada. Además, el enrutador Cisco probablemente informaría la colisión de IP duplicada en un registro en algún lugar (que los operadores o administradores de red notarían).

Greg Gauthier
fuente