Dapatkah administrator jaringan saya tahu bahwa saya menggunakan router virtual untuk mengakses internet pada perangkat saya yang tidak sah?

52

Saya seorang mahasiswa, dan administrator jaringan universitas saya menggunakan alamat MAC (1 alamat MAC / siswa) untuk mengotorisasi akses ke internet. Para siswa secara teratur menggunakan perangkat lunak perutean virtual untuk membuat hotspot untuk terhubung ke perangkat mereka yang lain (spooofing MAC adalah salah satu solusi yang mungkin dilakukan, tetapi melakukan spoofing pada perangkat genggam, misalnya, perangkat android, memerlukan akses root, yang dengan sendirinya sulit didapat ).

Baru-baru ini, administrator mengarahkan semua siswa agar tidak menggunakan hotspot, kalau tidak, ia akan menghukum mereka yang tidak mematuhi (dengan menghapus alamat MAC siswa dari database MAC resmi, saya kira). Saya memiliki perasaan yang kuat bahwa dia hanya menggertak.

Pertanyaan saya adalah, apakah mungkin bagi administrator untuk mengetahui bahwa suatu perangkat menggunakan perutean virtual untuk terhubung ke perangkat lain yang tidak sah?

Catatan: Saya mencoba mencari sumber daya online, misalnya, bagaimana tepatnya jaringan router virtual, tetapi saya tidak dapat menemukan informasi penting. Saya akan menghargai bahkan jika seseorang dapat mengarahkan saya ke beberapa sumber yang akan berguna bagi saya.

Tanmay Garg
sumber

Jawaban:

41

Ya, penggunaan hotspot nirkabel Anda dapat diidentifikasi menggunakan sistem pencegahan intrusi nirkabel .

Tujuan utama WIPS adalah untuk mencegah akses jaringan tidak sah ke jaringan area lokal dan aset informasi lainnya oleh perangkat nirkabel. Sistem ini biasanya diimplementasikan sebagai overlay ke infrastruktur LAN Nirkabel yang ada, meskipun mereka dapat digunakan secara mandiri untuk menegakkan kebijakan tanpa-nirkabel dalam suatu organisasi. Beberapa infrastruktur nirkabel canggih memiliki kemampuan WIPS terintegrasi.

vembutech
sumber
17
Mereka tidak akan tahu melalui alamat MAC, tetapi akan dapat menemukan titik wifi yang tidak sah. Di pekerjaan terakhir saya, kami mendapat peta semua titik wifi, resmi dan tidak resmi, akurat untuk biasanya kamar. Kami tidak membatasi orang ke satu alamat MAC, itu terlalu membatasi, kami hanya tidak ingin titik wifi jahat. Siswa akan mengeluh kepada perumahan, dekan, administrasi, dan siapa pun jika kami mencoba membatasi mereka. Kami menemukan rata-rata siswa memiliki 3-5 perangkat di wifi kami di asrama dan 2 untuk non-asrama. (Telepon, tablet, laptop, xbox, playstation, dll.)
MikeP
7
Bergantung pada perangkat lain yang ingin Anda gunakan, solusinya mungkin saja dengan menjembatani koneksi yang sah dari mesin Anda ke satu atau lebih kabel jaringan dan tancapkan ke itu. Itu tidak akan ditemukan kekurangan pemeriksaan fisik ruangan.
SeldomNeedy
2
Salah satu cara mudah untuk mendeteksi berbagi koneksi adalah pemeriksaan nilai TTL dalam paket IP, yang berasal dari perangkat. Ada daftar nilai TTL default untuk berbagai sistem dan perangkat operasi. Jika suatu sistem mendeteksi TTL dari (default-1, mis. 127 ketika 128 muncul dalam daftar default dan 127 tidak) itu bisa sangat yakin bahwa paket itu berasal dari suatu perangkat pada koneksi bersama. Beberapa penyedia seluler 3G juga menggunakan trik itu.
xmp125a
3
WIPS mendeteksi titik akses APAPUN dalam jangkauan radio. AP tanpa akses ke jaringan (atau jaringan apa pun) akan dideteksi dengan baik dan membuat admin gila.
Agent_L
2
@ xmp125a Ia dapat membuat komputernya mengatur TTL yang sama pada semua paket keluar, seperti menggunakan iptables.
v7d8dpo4
38

Selain secara fisik berlarian dan mendeteksi hotspot melalui lalu lintas WLAN ("warwalking"?), Atau mungkin menggunakan router yang ada untuk mendeteksi itu, pola lalu lintas juga bisa menjadi hadiah - hotspot Anda memiliki tanda tangan yang berbeda dari perangkat Anda.

Alih-alih bekerja melawan sysadmin Anda (yang merupakan PITA untuk kedua belah pihak), bicaralah dengannya. Saya tidak tahu mengapa mereka memiliki "satu MAC per peraturan siswa", mungkin mereka bisa sedikit santai? Katakan, "dua atau tiga MAC per siswa". Tidak banyak kesulitan untuk administrasi.

Saya tidak tahu bagaimana sisi politik dari perwakilan siswa bekerja di universitas Anda, tetapi seringkali siswa dapat menyuarakan minat mereka dengan cara tertentu. Ya, ini lebih lambat daripada hanya menyiapkan hotspot, tetapi juga lebih efektif.

dirkt
sumber
3
Titik akses yang ada [bukan router] sebenarnya memiliki fitur deteksi seperti itu - terutama yang datang dengan pengontrol pusat, seperti UniFi, menunjukkan daftar semua AP 'nakal' yang terdeteksi di mana saja di gedung.
grawity
3
Adapun beberapa MAC, mungkin mereka hanya tidak ingin pekerjaan tambahan (harus menambahkan masing-masing dan setiap alamat MAC siswa ke daftar putih router 'tentu saja mengganggu). Mungkin pada akhirnya mereka akan mengetahui bahwa mereka dapat melakukan login kata sandi sebagai gantinya.
grawity
1
Hei, terima kasih atas jawabannya! Dan ide yang bagus, saya yakin akan menghubungi ketua asosiasi mahasiswa :) @grawity, saran yang bagus saya akan membahas ini dengan admin :)
Tanmay Garg
17
@grawity Bahkan lebih baik, mereka bisa menjadi bagian dari sesuatu seperti eduroam sehingga mereka memiliki login kata sandi yang bekerja di universitas lain di seluruh dunia juga.
Bakuriu
Perangkat lunak wifi perusahaan (Cisco membuat satu) dapat memberikan peta aktual dari semua perangkat resmi yang tidak sah dan lokasi mereka. Mudah ditemukan.
MikeP
20

Saya dulu bekerja sebagai asisten administrator jaringan untuk sebuah perguruan tinggi. Kedengarannya seperti masalah perbedaan generasi atau jaringan sekolah tidak dapat menangani lebih dari 1 perangkat untuk setiap siswa, anggota staf, dll. Mungkin setiap siswa memiliki lebih banyak perangkat daripada yang diizinkan oleh kebijakan.

Jawaban singkatnya adalah YA mereka dapat mendeteksi akses tidak sah. TIDAK, jangan lakukan itu. Saya secara rutin mencabut akses untuk pelanggaran jaringan (berbagi file, perangkat lunak ilegal, virus, porno di laboratorium komputer, dll). Banyak dari siswa tersebut harus meninggalkan sekolah, karena kuliah cukup sulit tanpa akses komputer. Para siswa mengekspos jaringan terhadap risiko. Bagaimana jika perangkat seseorang yang tidak sah melewati virus yang menghapus penelitian dan tesis doktoral Anda? Jika Anda pikir itu lelucon sekarang, cobalah di pekerjaan dan lihat apa yang terjadi.

Bekerja dengan administrator jaringan, pemerintahan siswa, administrasi, dll. Untuk mendapatkan akses nirkabel tambahan untuk "perangkat Anda yang lain" yang TIDAK PERLU berada di jaringan sekolah dan / atau di area umum (seperti wifi gratis di sebagian besar kedai kopi) ). Ini mencegah memuat di jaringan sekolah "sebenarnya", dan masih memberi Anda akses internet yang Anda inginkan.

Jon Milliken
sumber
16
Ini terdengar seperti mendorong tanggung jawab kepada siswa dengan menawarkan layanan ISP yang sengaja dilumpuhkan.
Maret Ho
10
Setiap starbucks tampaknya mampu mengelola "risiko" yang ditimbulkan dengan mengizinkan perangkat apa pun terhubung ke jaringan dengan baik, dan universitas tidak bisa?
Random832
20
Universitas pada dasarnya adalah ISP. Cukup anggap jaringan sebagai 'bermusuhan' atau 'tidak aman'. Jangan sekali-kali mencampur barang-barang jaringan 'aman' dengan siswa, staf, atau sistem karyawan. Ini adalah dunia BYOD di sekolah dan di tempat kerja.
MikeP
21
Bagaimana jika perangkat seseorang yang tidak sah melewati virus yang menghapus penelitian dan tesis doktoral Anda? Bagaimana jika perangkat yang berwenang melakukan hal yang sama? Jika ada, perangkat seluler yang tidak sah mungkin berisiko lebih rendah terhadap jaringan daripada komputer yang disahkan, karena mereka umumnya kurang rentan terhadap virus / malware.
duskwuff
11
Bagaimana jika perangkat seseorang yang tidak sah melewati virus yang menghapus penelitian dan tesis doktoral Anda? <<< jadi tidak apa-apa jika itu komputer yang diotorisasi? bagaimana membatasi alamat MAC ada kaitannya dengan ini? Jika jaringan rentan terhadap serangan, itu adalah tanggung jawab administrator. Jika perusahaan memiliki kebijakan BYOD, mereka (harus) memiliki infrastruktur untuk mengelola perangkat yang terinfeksi dll. Bukan tugas yang sulit (atau mahal) untuk membuat jaringan yang aman untuk perangkat yang tidak aman. - Mempertaruhkan tesis seseorang karena hal ini akan murni tidak kompeten.
Michael B
7

Saya bisa memikirkan beberapa cara untuk mendeteksi perilaku semacam ini dalam jaringan. Pembatasan itu tidak bagus ketika benar-benar apa yang harus mereka lakukan adalah membatasi koneksi dengan port daripada mac, tapi itu adalah jaringan dan aturan mereka bahkan jika itu membuat serangan penolakan layanan yang mudah (ditargetkan) jika Anda ingin menipu orang lain. Alamat MAC.

Mengambil https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-wireless-access-points-on-a-nnetwork sebagai titik awal tampaknya cukup jelas bahwa setiap infrastruktur nirkabel yang layak akan dapat mendeteksi hotspot jahat (bahkan kotak dd-wrt dapat melakukan survei nirkabel untuk melihat apa lagi yang ada.)

Karena admin mengendalikan lalu lintas, alat IDS seperti Snort juga dapat dibawa untuk menanggung dan akan memberikan Anda cukup cepat jika admin tertarik untuk menemukan orang-orang yang tidak patuh. Beberapa protokol bahkan tidak menyembunyikan bahwa mereka beroperasi melalui NAT ( RFC7239 memiliki header http seperti X-Forwarded-Forkhusus untuk digunakan oleh proxy web.) RFC2821 menyarankan klien SMTP untuk mengirim pengenal opsional meskipun itu tidak wajib.

Satu-satunya cara Anda benar-benar bisa menyembunyikan sesuatu seperti itu adalah memiliki perangkat yang terhubung ke jaringan mereka mengirim semuanya ke VPN atau sistem seperti TOR, yang dengan sendirinya akan meningkatkan perhatian ke arah Anda.

Meskipun situasi tidak persis sama karena mereka tampaknya tidak memiliki batasan yang sama, tim keamanan Universitas Cambridge benar-benar tidak menyukai penggunaan NAT dalam jaringan mereka seperti yang terlihat dalam kebijakan Firewalls dan Terjemahan Alamat Jaringan dan memberikan latar belakang tentang alasan mereka. .

TL; DR - Jika Anda ingin menggunakan lebih banyak perangkat maka Anda harus melalui sistem dan perwakilan siswa untuk mengatasi masalah yang Anda hadapi, karena jika admin Anda ingin menangkap Anda maka mereka akan melakukannya.

James Snell
sumber
1
+1 untuk komentar VPN! Jelas cara mudah untuk menyembunyikan semua lalu lintas. Saya ragu itu akan menarik perhatian ... katakan saja pada admin itu untuk pekerjaan atau sesuatu. yaitu. Anda tersambung ke VPN kantor dan tidak diizinkan membocorkan informasi apa pun selain itu. lol
maplemale
@maplemale - Saya sangat curiga ada sysadmin yang peduli tentang jumlah alamat mac yang digunakan akan benar-benar peduli untuk menemukan lalu lintas tor / vpn.
James Snell
Saya tidak mengerti bagaimana orang akan tahu jika VPN pribadi sedang digunakan? Saya bisa melihat bagaimana VPN publik dapat dideteksi dan diblokir melalui daftar IP yang diketahui. Tetapi, kecuali sysadmin sedang mencari protokol yang diidentifikasi pada tingkat paket (tidak mungkin ia memiliki firewall yang canggih), bagaimana orang dapat mengatakan Anda bahkan menggunakan VPN? Dan kedua, mengapa mereka peduli? Sepertinya VPN digunakan di seluruh jaringan oleh staf dan siswa secara teratur untuk alasan yang sah. Mencoba memblokir lalu lintas VPN tampak seperti lereng yang licin. Seperti, berapa banyak siswa yang Anda hindari memiliki pekerjaan sampingan?
maplemale
@maplemale - Saya bisa menangkap seseorang melakukan itu di jaringan saya dan itu tidak semaju itu. Sisanya terdengar seperti pertanyaan yang bagus untuk Anda cari di sini dan tanyakan apakah Anda tidak dapat menemukan jawabannya. Secara pribadi jika saya admin di sana saya akan mengatakan sesuatu tentang seseorang yang melubangi firewall saya kepada siapa yang hanya tahu di mana; khususnya di sebuah universitas mengingat minat peretas yang disponsori negara dalam menyerang fasilitas penelitian. Setidaknya saya ingin memiliki 'obrolan' yang cukup mendalam tentang apa yang terjadi, setelah saya memutus hubungan Anda ...
James Snell
Jika "tidak semaju itu", mengapa tidak menjelaskan? "Selebihnya" lebih merupakan pernyataan daripada pertanyaan.
maplemale
5

Jaringan saya menggunakan sistem yang memiliki jarak detektor di seluruh bangunan, dan jika SSID jahat muncul, itu akan benar-benar melakukan pelacakan lokasi perangkat. Sistem ini tidak murah, tapi ya Tuhan, mungkin lebih hemat dalam jangka panjang jika Anda menambahkan waktu yang dihabiskan untuk mengelola alamat MAC secara manual; itu harus menjadi mimpi buruk administratif. Dari semua cara untuk mengunci sistem, saya benar-benar tidak bisa memikirkan cara yang lebih buruk untuk melakukannya.

Seperti yang dikatakan orang lain, bekerja dengan admin, jangan mencoba untuk mengalahkan mereka. Dengan teknologi yang tersedia saat ini, Anda bahkan tidak memerlukan admin jaringan yang bagus untuk menangkap Anda. Cobalah untuk mengubah kebijakan, lihat apakah pengecualian diizinkan, dll. Anda akan lebih baik pada akhirnya.

DroolTwist
sumber
Bagaimana jika Anda menyembunyikan SSID? Juga, pemindaian SSID tidak layak, karena bisa juga berupa router 4G atau ponsel yang ditambatkan, tidak harus terhubung ke jaringan lokal.
TJJ
Jadi, jika pengguna mengaktifkan tethering di teleponnya, atau membeli router 4G, itu akan muncul ...
TJJ
3

Seperti yang orang lain katakan, admin dapat mendeteksi hotspot nirkabel yang tidak benar. Tetapi juga mungkin untuk mendeteksi perangkat yang tidak sah melalui inspeksi paket yang mendalam. Perusahaan telepon seluler dapat menggunakan inspeksi paket mendalam untuk mendeteksi tethering yang tidak sah. Anda dapat membacanya di https://android.stackexchange.com/questions/47819/how-can-phone-companies-detect-tethering-incl-wifi-hotspot . Jika paket yang dihasilkan Windows dan paket yang dihasilkan Linux keduanya berasal dari alamat MAC Anda secara bersamaan, kemungkinan Anda memiliki lebih dari satu perangkat yang terpasang.

Di sisi lain, inspeksi paket yang dalam adalah mahal, dan admin mungkin tidak memiliki anggaran untuk mengimplementasikannya. Atau mereka mungkin tidak mau pergi ke tingkat upaya untuk menangkap curang. Tapi Anda tidak tahu pasti. Mungkin yang terbaik untuk berbicara dengan admin dan melihat apakah Anda dapat menyelesaikan sesuatu.

Jonathan
sumber
1

Seperti disebutkan di atas, jawabannya adalah ya. Hotspot WiFi (AP) sangat terlihat. Misalnya hotspot mengirim suar berkala dengan alamat MAC. Pemeriksaan paket (tajuk TCP, TTL), pemeriksaan waktu / latensi, bagaimana respons simpul terhadap paket yang hilang, situs apa yang dikunjungi (pembaruan Windows atau PlayStore), tajuk HTTP yang dihasilkan oleh peramban dapat menunjuk ke menggunakan perangkat lunak perutean dan beberapa perangkat . Sistemnya tidak murah, tetapi ada.

Pilihan Anda adalah:

  • Gunakan solusi non-nirkabel dan berdoalah agar inspeksi paket dalam tidak tersedia untuk admin Anda dan dia tidak menjalankan skrip sederhana yang memeriksa situs pembaruan perangkat lunak yang dikunjungi.
  • Kurangi daya transmisi pada semua perangkat ke minimum absolut
  • Pastikan Anda tidak menggunakan browser / paket perangkat lunak khusus perangkat. Misalnya, MAC yang sama tidak akan menggunakan IE dan Android WebBrowser.
Larytet
sumber