我是一名大学生,我所在大学的网络管理员使用MAC地址(每位学生1个MAC地址)授权访问互联网。学生经常使用虚拟路由软件创建热点以连接到其他设备(MAC欺骗是一种可能的解决方法,但是在手持设备(例如android设备)上进行欺骗需要root用户访问权限,这本身就很麻烦)。
最近,管理员将所有学生重定向到禁止使用热点的位置,否则,他将惩罚那些不遵守规定的学生(我想是通过从授权的MAC数据库中删除学生的MAC地址)。我有一种强烈的感觉,他只是在虚张声势。
我的查询是,管理员是否完全可能知道某个设备正在使用虚拟路由连接到其他未授权的设备?
注意:我尝试在线搜索资源,例如,虚拟路由器如何确切地联网,但找不到任何实质性信息。即使有人可以指出我一些对我有用的资源,我也将不胜感激。
Answers:
是的,您可以使用无线入侵防御系统来识别您对无线热点的使用。
WIPS的主要目的是防止无线设备对局域网和其他信息资产进行未经授权的网络访问。这些系统通常被实现为现有无线LAN基础结构的覆盖,尽管它们可以独立部署以在组织内实施非无线策略。一些高级无线基础架构具有集成的WIPS功能。
除了通过WLAN流量在物理上跑来跑去并检测热点(“ warwalking”?),或者使用现有路由器来检测热点之后,流量模式也可以作为一种赠品-热点的签名与设备的签名不同。
与其与您的系统管理员(双方都是PITA)合作,不如与他交谈。我不知道他们为什么有“每个学生一个MAC规则”,也许他们可以放宽一点?说“每个学生两个或三个MAC”。管理起来没有更多麻烦。
我不知道学生代表的政治方面如何在您的大学学习,但是学生通常可以以某种方式表达自己的兴趣。是的,这比设置热点要慢,但也更有效。
我曾经是大学的网络管理员助理。这听起来像是代际差异问题,或者学校的网络无法为每个学生,教职员工等使用多个设备。可能每个学生拥有的设备都超出了政策允许的范围。
简短的回答是“是”,他们可以检测到未经授权的访问。不,不要这样做。我经常撤销对网络违规的访问权限(文件共享,非法软件,病毒,计算机实验室中的色情内容等)。这些学生中的许多人不得不离开学校,因为如果没有计算机访问,上大学就相当困难。学生们正在使网络面临风险。如果有人未经授权的设备传播了病毒,这抹杀了您的博士研究和论文,该怎么办?如果您现在认为这是个玩笑,请尝试一下它,看看会发生什么。
与网络管理员,学生政府,行政部门等合作,为不需要在学校网络和/或公共区域(例如大多数咖啡店中的免费wifi上网)的“其他设备”获得额外的无线访问权限)。这样可以防止“实际”学校网络上的负载,并且仍然可以为您提供所需的Internet访问。
我可以想到几种检测网络中此类行为的方法。如果实际上他们应该做的是通过端口而不是mac来限制连接,那么限制不是一个很大的限制,但这是他们的网络和规则,即使如果您要欺骗其他人的端口也确实造成了轻松的(有针对性的)拒绝服务攻击。 MAC地址。
以https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-wireless-access-points-on-a-Network为起点,似乎很明显任何体面的无线基础设施都可以能够检测到恶意热点(即使是dd-wrt盒也可以进行无线调查,以查看周围还有其他情况。)
由于管理员可以控制流量,因此还可以使用Snort之类的IDS工具,如果管理员渴望找到不合规的人员,它们会很快将您带走。有些协议甚至没有掩盖它们通过NAT运行(RFC7239具有http头,X-Forwarded-For专门供Web代理使用。) RFC2821建议SMTP客户端发送可选标识符,尽管这不是强制性的。
真正隐藏类似内容的唯一方法是,将连接到其网络的设备将所有内容发送到VPN或类似TOR的系统,这本身会引起您的注意。
尽管情况似乎并不完全相同,但似乎没有相同的限制,但剑桥大学的安全团队确实对防火墙和网络地址转换策略中所使用的网络中NAT的使用不满意,并为其推理提供了一些背景知识。
TL; DR-如果您想使用更多设备,则需要遍历系统和学生代表来解决您所面临的问题,因为如果您的管理员希望抓住您,他们会这样做。
我的网络使用的系统在整个建筑物中都设有探测器,如果出现恶意SSID,它将实际上对设备的位置进行三角测量。该系统并不便宜,但是好主啊,如果您增加手动管理MAC地址的时间,从长远来看,它可能更具成本效益。这一定是一场行政噩梦。在锁定系统的所有方法中,我真的没有想到更糟糕的方法。
正如其他人所说,与管理员一起工作时,不要试图击败他们。如今,有了可用的技术,您甚至都不需要优秀的网络管理员来吸引您。尝试更改策略,查看是否允许例外等。最后您会更好。
正如其他人所说,管理员有可能检测到恶意无线热点。但是,也可以通过深度数据包检查来检测未经授权的设备。手机公司可以使用深度数据包检查来检测未经授权的网络共享。您可以在https://android.stackexchange.com/questions/47819/how-can-phone-companies-detect-tethering-incl-wifi-hotspot阅读有关它的内容。如果Windows生成的数据包和Linux生成的数据包都同时来自您的MAC地址,则可能您连接了多个设备。
另一方面,深度数据包检查非常昂贵,并且管理员可能没有预算来实施它。或者,他们可能只是不愿意采取这种努力来捉住作弊者。但是您不确定这一点。最好与管理员交谈,看看是否可以解决问题。
如上所述,答案是肯定的。WiFi热点(AP)非常明显。例如,热点发送带有MAC地址的定期信标。数据包检查(TCP标头,TTL),定时/延迟检查,节点如何响应数据包丢失,其访问的站点(Windows更新或PlayStore),浏览器生成的HTTP标头可以指向使用路由软件和多个设备。这些系统并不便宜,但是它们存在。
您的选择是: