Meu administrador de rede pode saber que estou usando um roteador virtual para acessar a Internet em meus dispositivos não autorizados?

Sou estudante universitário e o administrador de rede da minha universidade usa endereços MAC (1 endereço MAC / aluno) para autorizar o acesso à Internet. Os alunos usam regularmente softwares de roteamento virtual para criar um ponto de acesso para conectar-se a outros dispositivos (o spooofing de MAC é uma solução possível, mas a falsificação em um dispositivo portátil, por exemplo, um dispositivo Android, requer acesso root, o que é uma dor para ganhar. )

Recentemente, o administrador redirecionou todos os alunos para não usar pontos de acesso, caso contrário ele punirá aqueles que não cumprirem (removendo o endereço MAC do aluno do banco de dados autorizado de MACs, suponho). Tenho uma forte sensação de que ele está simplesmente blefando.

Minha pergunta é: é possível ao administrador saber que um dispositivo está usando o roteamento virtual para se conectar a outros dispositivos não autorizados?

Nota: Tentei procurar recursos online, por exemplo, como funcionam exatamente os roteadores virtuais, mas não consegui encontrar nenhuma informação substancial. Eu apreciaria mesmo que alguém pudesse me indicar alguns recursos que seriam úteis para mim.

Sim, o uso de um ponto de acesso sem fio pode ser identificado usando um sistema de prevenção de intrusões sem fio .

O objetivo principal de um WIPS é impedir o acesso não autorizado da rede a redes locais e outros ativos de informações por dispositivos sem fio. Esses sistemas geralmente são implementados como uma sobreposição a uma infraestrutura de LAN sem fio existente, embora possam ser implantados de maneira independente para impor políticas de não-conexão em uma organização. Algumas infraestruturas sem fio avançadas possuem recursos WIPS integrados.

Além de percorrer fisicamente e detectar pontos de acesso via tráfego WLAN ("warwalking"?), Ou talvez usar o roteador existente para detectá-los, os padrões de tráfego também podem ser uma oferta - o seu ponto de acesso tem uma assinatura diferente do seu dispositivo.

Em vez de trabalhar contra o administrador do sistema (que é um PITA para os dois lados), converse com ele. Não sei por que eles têm a "regra de um MAC por aluno", talvez eles possam relaxar um pouco? Diga "dois ou três MACs por aluno". Não há muito mais problemas para administrar.

Não sei como o lado político da representação estudantil funciona na sua universidade, mas muitas vezes os alunos podem expressar seus interesses de alguma maneira. Sim, isso é mais lento do que apenas configurar um ponto de acesso, mas também é mais eficaz.

Eu trabalhava como assistente de administrador de rede para uma faculdade. Parece um problema de diferença geracional ou a rede da escola não pode lidar com mais de um dispositivo para cada aluno, membro da equipe etc. Provavelmente, todo aluno tem mais dispositivos do que a política permite.

A resposta curta é SIM, eles podem detectar o acesso não autorizado. NÃO, não faça isso. Eu revoguei rotineiramente o acesso a violações de rede (compartilhamento de arquivos, software ilegal, vírus, pornografia nos laboratórios de informática, etc.). Muitos desses alunos tiveram que sair da escola, porque a faculdade é bastante difícil sem acesso ao computador. Os alunos estão expondo a rede a riscos. E se o dispositivo não autorizado de alguém passasse por um vírus que limpou sua pesquisa e tese de doutorado? Se você acha que é uma piada agora, tente em um emprego e veja o que acontece.

Trabalhe com o administrador da rede, o governo estudantil, a administração etc. para obter acesso sem fio adicional para "seus outros dispositivos" que NÃO PRECISAM estar na rede da escola e / ou em áreas comuns (como o Wi-Fi gratuito na maioria das cafeterias) ) Isso evita a carga na rede escolar "real" e ainda oferece o acesso à Internet que você deseja.

Posso pensar em várias maneiras de detectar esse tipo de comportamento em uma rede. A restrição não é boa quando realmente o que eles devem fazer é limitar as conexões por porta, em vez de mac, mas é a rede e as regras deles, mesmo que isso crie um ataque fácil (direcionado) de negação de serviço, se você for enganar alguém. Endereço MAC.

Tomando https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-wireless-access-points-on-a-network como ponto de partida, parece bastante claro que qualquer infraestrutura sem fio decente ser capaz de detectar pontos de acesso não autorizados (mesmo uma caixa dd-wrt pode fazer uma pesquisa sem fio para ver o que mais existe).

Como os administradores controlam o tráfego, ferramentas IDS como o Snort também podem ser utilizadas e o denunciariam rapidamente se os administradores desejassem encontrar pessoas que não eram compatíveis. Alguns protocolos nem escondem que estão operando através do NAT (o RFC7239 possui cabeçalhos http X-Forwarded-Forespecificamente para uso por proxies da Web.) O RFC2821 aconselha os clientes SMTP a enviar um identificador opcional, embora não seja obrigatório.

A única maneira de ocultar algo assim é fazer com que o dispositivo que se conecta à rede envie tudo para uma VPN ou sistema como o TOR, o que por si só chamaria a atenção em sua direção.

Embora não seja exatamente a mesma situação em que parece não ter as mesmas restrições, a equipe de segurança da Universidade de Cambridge desaprova o uso do NAT em sua rede, como visto na política de Firewalls e tradução de endereços de rede, além de fornecer alguns antecedentes sobre o seu raciocínio. .

TL; DR - Se você quiser usar mais dispositivos, precisará passar pela representação do sistema e dos alunos para resolver os problemas que está enfrentando, porque se seus administradores quiserem pegá-lo, eles o farão.

Minha rede utiliza um sistema que possui detectores espaçados pelos prédios e, se um SSID não autorizado aparecer, ele triangulará a localização do dispositivo. O sistema não é barato, mas bom Deus, provavelmente é mais econômico a longo prazo se você aumentar o tempo gasto gerenciando manualmente os endereços MAC; isso tem que ser um pesadelo administrativo. De todas as maneiras de bloquear um sistema, eu realmente não consigo pensar em uma maneira pior de fazê-lo.

Como outros já disseram, trabalhe com os administradores, não tente vencê-los. Com a tecnologia disponível atualmente, você nem precisa de um bom administrador de rede para capturá-lo. Tente alterar as políticas, veja se as exceções são permitidas etc. Você estará melhor no final.

Como outros já disseram, é possível que os administradores detectem pontos de acesso sem fio não autorizados. Mas também é possível detectar dispositivos não autorizados através de inspeção profunda de pacotes. As empresas de telefonia móvel podem usar a inspeção profunda de pacotes para detectar a amarração não autorizada. Você pode ler sobre isso em https://android.stackexchange.com/questions/47819/how-can-phone-companies-detect-tethering-incl-wifi-hotspot . Se os pacotes gerados pelo Windows e os pacotes gerados pelo Linux vierem do seu endereço MAC ao mesmo tempo, é provável que você tenha mais de um dispositivo conectado.

Por outro lado, a inspeção profunda de pacotes é cara e os administradores podem não ter o orçamento para implementá-la. Ou eles podem simplesmente não querer ir a esse nível de esforço para pegar trapaceiros. Mas você não sabe ao certo. Provavelmente, é melhor conversar com os administradores e ver se você consegue resolver alguma coisa.

Como mencionado acima, a resposta é sim. Um ponto de acesso WiFi (um ponto de acesso) é muito visível. Por exemplo, um ponto de acesso envia um sinalizador periódico com o endereço MAC. Inspeção de pacotes (cabeçalhos TCP, TTL), inspeção de tempo / latência, como o nó responde à perda de pacotes, quais sites ele visita (atualização do Windows ou PlayStore), cabeçalhos HTTP gerados pelos navegadores podem apontar para usar um software de roteamento e vários dispositivos . Os sistemas não são baratos, mas existem.

Suas opções são:

• Use soluções não sem fio e reze para que a inspeção profunda de pacotes não esteja disponível para o seu administrador e ela não esteja executando um script simples que verifique os sites de atualização de software visitados.
• Reduza a potência de transmissão em todos os dispositivos para o mínimo absoluto
• Verifique se você não está usando navegadores / pacotes de software específicos do dispositivo. Por exemplo, o mesmo MAC não usará o IE e o Android WebBrowser.