web-dev-qa-db-fra.com

Mon administrateur réseau peut-il savoir que j'utilise un routeur virtuel pour accéder à Internet sur mes périphériques non autorisés?

Je suis un étudiant universitaire et l'administrateur du réseau de mon université utilise des adresses MAC (1 adresse MAC/étudiant) pour autoriser l'accès à Internet. Les étudiants utilisent régulièrement des logiciels de routage virtuels pour créer un point d'accès sans fil et se connecter à leurs autres périphériques (la spooofing MAC est une solution de contournement possible, mais l'utilisation d'une usurpation d'identité sur un périphérique de poche, par exemple un appareil Android, nécessite un accès root, ce qui est difficile ).

Récemment, l'administrateur a demandé à tous les étudiants d'éviter d'utiliser des points chauds, sinon il punira ceux qui ne le respectent pas (en supprimant l'adresse MAC de l'étudiant de la base de données autorisée de MAC, je suppose). J'ai le fort sentiment qu'il bluffe tout simplement.

Ma question est la suivante: est-il possible pour l'administrateur de savoir qu'un périphérique utilise le routage virtuel pour se connecter à d'autres périphériques non autorisés?

Remarque: j'ai essayé de rechercher des ressources en ligne, par exemple, comment faire exactement le réseau de routeurs virtuels, mais je n'ai trouvé aucune information importante. J'apprécierais même si quelqu'un pouvait m'indiquer des ressources qui pourraient m'être utiles.

52
Tanmay Garg

Oui, votre utilisation d'un point d'accès sans fil peut être identifiée à l'aide d'un système de prévention des intrusions sans fil.

L'objectif principal d'un système WIPS est d'empêcher tout accès réseau non autorisé aux réseaux locaux et à d'autres actifs d'informations par des périphériques sans fil. Ces systèmes sont généralement implémentés en tant que superposition d'une infrastructure LAN sans fil existante, bien qu'ils puissent être déployés de manière autonome pour appliquer des stratégies sans-fil au sein d'une organisation. Certaines infrastructures sans fil avancées intègrent les fonctionnalités WIPS.

41
vembutech

En plus de courir physiquement et de détecter les points d'accès via le trafic WLAN ("warwalal"?), Ou peut-être d'utiliser le routeur existant pour le détecter, les modèles de trafic peuvent également être un cadeau - votre point d'accès a une signature différente de celle de votre appareil.

Au lieu de travailler contre votre administrateur système (qui est un PITA pour les deux côtés), parlez-lui. Je ne sais pas pourquoi ils ont la "règle d'un MAC par élève", peut-être qu'ils peuvent le relâcher un peu? Disons "deux ou trois MAC par étudiant". Pas beaucoup plus de problèmes à administrer.

Je ne sais pas comment fonctionne le côté politique de la représentation des étudiants dans votre université, mais souvent les étudiants peuvent / expriment leurs intérêts d’une manière ou d’une autre. Oui, c'est plus lent que la simple mise en place d'un hotspot, mais c'est aussi plus efficace.

38
dirkt

J'avais l'habitude de travailler comme assistant d'administrateur réseau dans un collège. Cela ressemble à un problème de différence générationnelle ou le réseau de l'école ne peut pas gérer plus d'un périphérique pour chaque élève, membre du personnel, etc. Chaque élève dispose probablement d'un nombre de périphériques supérieur à celui autorisé par la stratégie.

La réponse courte est OUI, ils peuvent détecter les accès non autorisés. NON, ne le fais pas. J'ai régulièrement révoqué l'accès en cas de violation de réseau (partage de fichiers, logiciels illégaux, virus, pornographie dans les laboratoires informatiques, etc.). Un grand nombre de ces étudiants ont dû quitter l'école, car l'université est assez difficile sans accès à un ordinateur. Les étudiants exposent le réseau à des risques. Que se passe-t-il si le dispositif non autorisé de quelqu'un a transmis un virus qui a effacé votre thèse de doctorat? Si vous pensez que c'est une blague maintenant, essayez-le et voyez ce qui se passe.

Travaillez avec l'administrateur du réseau, le gouvernement étudiant, l'administration, etc. pour obtenir un accès sans fil supplémentaire pour "vos autres appareils" qui NE DOIVENT PAS être sur le réseau de l'école et/ou dans les espaces communs (comme le wifi gratuit dans la plupart des cafés ). Cela empêche la charge sur le réseau "réel" de l'école et vous donne toujours l'accès Internet que vous souhaitez.

20
Jon Milliken

Je peux penser à une poignée de moyens pour détecter ce type de comportement dans un réseau. La restriction n’est pas une très bonne solution quand, en réalité, ils devraient limiter les connexions par port plutôt que par mac, mais c’est leur réseau et leurs règles, même si cela crée une attaque par déni de service facile (ciblée) si vous imitez une autre personne. Adresse Mac.

Prendre https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-wireless-access-points-on-a-network comme point de départ, il semble assez clair que une infrastructure sans fil décente serait capable de détecter les points d'accès malveillants (même une boîte DD-WRT peut effectuer une enquête sans fil pour voir ce qui se passe ailleurs.)

Étant donné que les administrateurs contrôlent le trafic, des outils IDS tels que Snort peuvent également être utilisés et vous renverraient assez rapidement si les administrateurs souhaitaient trouver des personnes non conformes. Certains protocoles ne cachent même pas qu’ils fonctionnent via NAT ( RFC7239 a des en-têtes http tels que X-Forwarded-For spécialement conçus pour être utilisés par les mandataires Web.) RFC2821 conseille aux clients SMTP d’envoyer une identifiant facultatif bien que ce ne soit pas obligatoire.

La seule façon de vraiment cacher quelque chose comme cela est de faire en sorte que le périphérique qui se connecte à leur réseau envoie toutsur un VPN ou un système tel que TOR, ce qui en soi attirerait votre attention.

Bien que la situation ne soit pas tout à fait identique car elles ne semblent pas avoir les mêmes restrictions, l'équipe de sécurité de l'Université de Cambridge s'inquiète de l'utilisation de NAT dans leur réseau, comme indiqué dans Firewalls et traduction d'adresses de réseau politique et fournir des informations générales sur leur raisonnement.

TL; DR - Si vous souhaitez utiliser plus de périphériques, vous devez consulter le système et la représentation des étudiants pour résoudre les problèmes auxquels vous êtes confrontés, car si vos administrateurs veulent vous prendre, ils le feront.

7
James Snell

Mon réseau utilise un système doté de détecteurs répartis dans tous les bâtiments. Si un SSID non autorisé apparaît, il triangule l'emplacement du périphérique. Le système n'est pas bon marché, mais bon Dieu, il est probablement plus rentable à long terme si vous additionnez le temps passé à gérer manuellement les adresses MAC; cela doit être un cauchemar administratif. Parmi tous les moyens de verrouiller un système, je ne peux vraiment pas penser à un pire moyen de le faire.

Comme d'autres l'ont dit, travaillez avec les administrateurs, n'essayez pas de les battre. Avec la technologie disponible de nos jours, vous n'avez même pas besoin d'un bon administrateur réseau pour vous rattraper. Essayez de changer les politiques, voir si les exceptions sont autorisées, etc. Vous serez mieux loti à la fin.

5
DroolTwist

Comme d'autres l'ont déjà dit, il est possible pour les administrateurs de détecter les points d'accès sans fil indésirables. Mais il est également possible de détecter des périphériques non autorisés via une inspection approfondie des paquets. Les entreprises de téléphonie mobile peuvent utiliser l'inspection approfondie des paquets pour détecter tout modem non autorisé. Vous pouvez en savoir plus sur https://Android.stackexchange.com/questions/47819/how-can-phone-companies-detect-tethering-incl-wifi-hotspot . Si les paquets générés par Windows et par Linux proviennent tous deux de votre adresse MAC en même temps, il est probable que plusieurs périphériques soient connectés.

D'autre part, l'inspection approfondie des paquets coûte cher et les administrateurs ne disposent peut-être pas du budget pour l'implémenter. Ou bien, ils pourraient simplement ne pas vouloir faire autant d'efforts pour attraper les tricheurs. Mais vous ne le savez pas avec certitude. Il est probablement préférable de parler aux administrateurs et de voir si vous pouvez trouver une solution.

3
Jonathan

Comme mentionné ci-dessus, la réponse est oui. Un point d'accès WiFi (un AP) est très visible. Par exemple, un point d'accès envoie une balise périodique avec l'adresse MAC. Inspection de paquets (en-têtes TCP, TTL), inspection du temps/latence, comment les réponses des nœuds à la perte de paquets, sites consultés (mise à jour Windows ou PlayStore), les en-têtes HTTP générés par les navigateurs peuvent indiquer l'utilisation d'un logiciel de routage et de plusieurs périphériques . Les systèmes ne sont pas bon marché, mais ils existent.

Vos options sont:

  • Utilisez des solutions non sans fil et priez afin que l'inspection approfondie des paquets ne soit pas disponible pour votre admin et qu'elle n'exécute pas un simple script vérifiant les sites de mise à jour logicielle visités.
  • Réduisez la puissance de transmission sur tous les appareils au minimum absolu
  • Assurez-vous de ne pas utiliser de navigateurs/progiciels spécifiques à un appareil. Par exemple, le même MAC n'utilisera pas IE et Android WebBrowser.
1
Larytet