Mon administrateur réseau peut-il savoir que j'utilise un routeur virtuel pour accéder à Internet sur mes périphériques non autorisés?

Je suis un étudiant universitaire et l'administrateur du réseau de mon université utilise des adresses MAC (1 adresse MAC / étudiant) pour autoriser l'accès à Internet. Les étudiants utilisent régulièrement des logiciels de routage virtuels pour créer un point d'accès sans fil et se connecter à leurs autres périphériques (la spooofing MAC est une solution de contournement possible, mais l'utilisation d'une usurpation d'identité sur un périphérique de poche, par exemple un périphérique Android, nécessite un accès root, ce qui est difficile à obtenir. )

Récemment, l'administrateur a demandé à tous les étudiants de ne pas utiliser de point d'accès sans fil, sinon il punirait ceux qui ne s'y conformaient pas (en supprimant l'adresse MAC de l'élève de la base de données MAC autorisée, je suppose). J'ai le fort sentiment qu'il bluffe tout simplement.

Ma question est la suivante: est-il possible pour l'administrateur de savoir qu'un périphérique utilise le routage virtuel pour se connecter à d'autres périphériques non autorisés?

Remarque: j'ai essayé de rechercher des ressources en ligne, par exemple, comment faire exactement le réseau de routeurs virtuels, mais je n'ai trouvé aucune information substantielle. J'apprécierais même si quelqu'un pouvait m'indiquer des ressources qui pourraient m'être utiles.

Oui, votre utilisation d'un point d'accès sans fil peut être identifiée à l'aide d'un système de prévention des intrusions sans fil .

L'objectif principal d'un système WIPS est d'empêcher tout accès réseau non autorisé à des réseaux locaux et à d'autres actifs d'informations par des périphériques sans fil. Ces systèmes sont généralement implémentés en tant que superposition d'une infrastructure LAN sans fil existante, bien qu'ils puissent être déployés de manière autonome pour appliquer des stratégies sans fil au sein d'une organisation. Certaines infrastructures sans fil avancées intègrent les fonctionnalités WIPS.

En plus de courir physiquement et de détecter les points chauds via le trafic WLAN ("warwalal"?), Ou peut-être d’utiliser le routeur existant pour le détecter, les modèles de trafic peuvent également être un cadeau - votre point chaud a une signature différente de celle de votre appareil.

Au lieu de travailler contre votre administrateur système (qui est un PITA pour les deux côtés), parlez-lui. Je ne sais pas pourquoi ils ont la "règle d'un MAC par élève", peut-être qu'ils peuvent le détendre un peu? Disons "deux ou trois MAC par étudiant". Pas beaucoup plus de problèmes à administrer.

Je ne sais pas comment fonctionne le côté politique de la représentation des étudiants dans votre université, mais souvent les étudiants peuvent exprimer leurs intérêts d'une manière ou d'une autre. Oui, c'est plus lent que la simple mise en place d'un hotspot, mais c'est aussi plus efficace.

J'avais l'habitude de travailler comme assistant d'administrateur réseau dans un collège. Cela ressemble à un problème de différence générationnelle ou le réseau de l'école ne peut pas gérer plus d'un périphérique pour chaque élève, membre du personnel, etc. Chaque élève dispose probablement d'un nombre de périphériques supérieur à celui autorisé par la stratégie.

La réponse courte est OUI, ils peuvent détecter les accès non autorisés. NON, ne le fais pas. J'ai régulièrement révoqué l'accès en cas de violation de réseau (partage de fichiers, logiciels illégaux, virus, pornographie dans les laboratoires informatiques, etc.). Un grand nombre de ces étudiants ont dû quitter l'école, car l'université est assez difficile sans accès à un ordinateur. Les étudiants exposent le réseau à des risques. Que se passe-t-il si le dispositif non autorisé de quelqu'un a transmis un virus qui a effacé votre thèse de doctorat? Si vous pensez que c'est une blague maintenant, essayez-le au travail et voyez ce qui se passe.

Travaillez avec l'administrateur du réseau, le gouvernement étudiant, l'administration, etc. pour obtenir un accès sans fil supplémentaire pour "vos autres appareils" qui NE DOIVENT PAS être sur le réseau de l'école et / ou dans les espaces communs (comme le wifi gratuit dans la plupart des cafés ). Cela empêche la charge sur le réseau "réel" de l'école et vous donne toujours l'accès Internet que vous souhaitez.

Je peux penser à une poignée de moyens pour détecter ce type de comportement dans un réseau. La restriction n’est pas une bonne solution quand en réalité ce qu’ils devraient faire est de limiter les connexions par port plutôt que mac, mais c’est leur réseau et leurs règles, même si cela crée une attaque par déni de service facile (ciblée) si vous imitez une autre personne. Adresse Mac.

En prenant https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-wireless-access-points-on-a-network, il semble évident que toute infrastructure sans fil décente être capable de détecter les points d'accès malveillants (même une boîte de dialogue numérique peut faire une enquête sans fil pour voir ce qui se passe autour de vous.)

Étant donné que les administrateurs contrôlent le trafic, des outils IDS tels que Snort peuvent également être utilisés. Ils vous trahiraient assez rapidement si les administrateurs souhaitaient trouver des personnes non conformes. Certains protocoles ne cachent même pas qu'ils fonctionnent via NAT (la RFC7239 a des en-têtes http X-Forwarded-Forspécialement conçus pour les mandataires Web). La RFC2821 conseille aux clients SMTP d'envoyer un identifiant facultatif, même s'il n'est pas obligatoire.

La seule façon de vraiment cacher quelque chose comme ça est de laisser l'appareil qui se connecte à son réseau envoyer tout le contenu à un VPN ou à un système tel que TOR, ce qui en soi attirerait votre attention.

Bien que la situation ne soit pas tout à fait identique car elles ne semblent pas être soumises aux mêmes restrictions, l'équipe de sécurité de l'Université de Cambridge s'inquiète de l'utilisation du NAT dans leur réseau, comme indiqué dans les règles de pare-feu et de traduction d'adresses réseau, et fournit des informations de base sur leur raisonnement. .

TL; DR - Si vous souhaitez utiliser plus de périphériques, vous devez consulter le système et la représentation des étudiants pour résoudre les problèmes auxquels vous êtes confrontés. En effet, si vos administrateurs veulent vous intercepter, ils le feront.

Mon réseau utilise un système doté de détecteurs répartis dans tous les bâtiments. Si un SSID non autorisé apparaît, il triangule l'emplacement du périphérique. Le système n'est pas bon marché, mais bon Dieu, il est probablement plus rentable à long terme si vous additionnez le temps passé à gérer manuellement les adresses MAC; cela doit être un cauchemar administratif. Parmi tous les moyens de verrouiller un système, je ne peux vraiment pas penser à un pire moyen de le faire.

Comme d'autres l'ont dit, travaillez avec les administrateurs, n'essayez pas de les battre. Avec la technologie disponible de nos jours, vous n'avez même pas besoin d'un bon administrateur réseau pour vous rattraper. Essayez de changer les politiques, voir si les exceptions sont autorisées, etc. Vous serez mieux loti à la fin.

Comme d'autres l'ont déjà dit, il est possible pour les administrateurs de détecter les points d'accès sans fil indésirables. Mais il est également possible de détecter des périphériques non autorisés via une inspection approfondie des paquets. Les entreprises de téléphonie mobile peuvent utiliser l'inspection approfondie des paquets pour détecter tout modem non autorisé. Vous pouvez en savoir plus sur https://android.stackexchange.com/questions/47819/how-can-phone-companies-detect-tethering-incl-wifi-hotspot . Si les paquets générés par Windows et par Linux proviennent tous deux de votre adresse MAC en même temps, il est probable que plusieurs périphériques soient connectés.

D'autre part, l'inspection approfondie des paquets coûte cher et les administrateurs peuvent ne pas disposer du budget nécessaire pour l'implémenter. Ou bien, ils pourraient simplement ne pas vouloir faire autant d'efforts pour attraper les tricheurs. Mais vous ne le savez pas avec certitude. Il est probablement préférable de parler aux administrateurs et voir si vous pouvez trouver une solution.

Comme mentionné ci-dessus, la réponse est oui. Un hotspot WiFi (un AP) est très visible. Par exemple, un point d'accès envoie une balise périodique avec l'adresse MAC. Inspection de paquets (en-têtes TCP, TTL), inspection du délai / temps de latence, comment les réponses des nœuds à la perte de paquets, sites consultés (mise à jour Windows ou PlayStore), les en-têtes HTTP générés par les navigateurs peuvent indiquer l'utilisation d'un logiciel de routage et de plusieurs périphériques . Les systèmes ne sont pas bon marché, mais ils existent.

Vos options sont:

• Utilisez des solutions non sans fil et priez afin que l'inspection approfondie des paquets ne soit pas disponible pour votre admin et qu'elle n'exécute pas un simple script qui vérifie les sites de mise à jour logicielle visités.
• Réduisez la puissance de transmission sur tous les appareils au minimum absolu
• Assurez-vous de ne pas utiliser de navigateurs / progiciels spécifiques à un appareil. Par exemple, le même MAC n'utilisera pas IE ni Android WebBrowser.