¿Puede mi administrador de red saber que estoy usando un enrutador virtual para acceder a Internet en mis dispositivos no autorizados?

Soy un estudiante universitario y el administrador de red de mi universidad utiliza direcciones MAC (1 dirección MAC / estudiante) para autorizar el acceso a Internet. Los estudiantes usan regularmente softwares de enrutamiento virtual para crear un punto de acceso para conectarse a sus otros dispositivos (la suplantación de MAC es una solución alternativa posible, pero la suplantación de identidad en un dispositivo portátil, por ejemplo, un dispositivo Android, requiere acceso a la raíz, lo que en sí mismo es difícil de obtener )

Recientemente, el administrador redirigió a todos los estudiantes para que se abstuvieran de usar puntos de acceso, de lo contrario castigará a aquellos que no cumplan (suponiendo que eliminando la dirección MAC del estudiante de la base de datos de MAC autorizada). Tengo la fuerte sensación de que él simplemente está mintiendo.

Mi pregunta es, ¿es posible que el administrador sepa que un dispositivo está utilizando enrutamiento virtual para conectarse a otros dispositivos no autorizados?

Nota: Intenté buscar recursos en línea, por ejemplo, cómo funciona exactamente la red de enrutadores virtuales, pero no pude encontrar ninguna información sustancial. Agradecería incluso si alguien pudiera señalarme algunos recursos que me serían útiles.

Sí, su uso de un punto de acceso inalámbrico se puede identificar utilizando un sistema inalámbrico de prevención de intrusiones .

El propósito principal de un WIPS es evitar el acceso no autorizado de la red a redes de área local y otros activos de información por dispositivos inalámbricos. Estos sistemas generalmente se implementan como una superposición a una infraestructura LAN inalámbrica existente, aunque pueden implementarse de forma independiente para aplicar políticas no inalámbricas dentro de una organización. Algunas infraestructuras inalámbricas avanzadas tienen capacidades WIPS integradas.

Además de correr físicamente y detectar puntos de acceso a través del tráfico WLAN ("warwalking"?), O tal vez usar el enrutador existente para detectarlos, los patrones de tráfico también pueden ser un regalo: su punto de acceso tiene una firma diferente a la de su dispositivo.

En lugar de trabajar en contra de su administrador de sistemas (que es un PITA para ambas partes), hable con él. No sé por qué tienen la "regla de un MAC por estudiante", ¿tal vez puedan relajarla un poco? Diga, "dos o tres MAC por estudiante". No hay muchos más problemas para administrar.

No sé cómo funciona el lado político de la representación estudiantil en su universidad, pero a menudo los estudiantes pueden expresar sus intereses de alguna manera. Sí, esto es más lento que solo configurar un punto de acceso, pero también es más efectivo.

Solía ​​trabajar como asistente de administrador de red para una universidad. Parece un problema de diferencia generacional o la red de la escuela no puede manejar más de 1 dispositivo para cada estudiante, miembro del personal, etc. Probablemente cada estudiante tenga más dispositivos de lo que permite la política.

La respuesta corta es SÍ, pueden detectar el acceso no autorizado. NO, no lo hagas. Rutinariamente revoqué el acceso por infracciones de la red (uso compartido de archivos, software ilegal, virus, pornografía en los laboratorios de computadoras, etc.). Muchos de esos estudiantes tuvieron que abandonar la escuela, porque la universidad es bastante difícil sin acceso a una computadora. Los estudiantes están exponiendo la red al riesgo. ¿Qué pasa si el dispositivo no autorizado de alguien pasa un virus que borró su tesis y su investigación doctoral? Si crees que es una broma ahora, pruébalo en el trabajo y mira qué sucede.

Trabaje con el administrador de la red, el gobierno estudiantil, la administración, etc. para obtener acceso inalámbrico adicional para "sus otros dispositivos" que NO DEBEN estar en la red de la escuela y / o en áreas comunes (como el wifi gratuito en la mayoría de las cafeterías) ) Esto evita la carga en la red escolar "real" y aún así le brinda el acceso a Internet que desea.

Se me ocurren varias maneras de detectar este tipo de comportamiento en una red. La restricción no es muy buena cuando realmente lo que deberían hacer es limitar las conexiones por puerto en lugar de mac, pero es su red y sus reglas, incluso si crea un ataque de denegación de servicio fácil (dirigido) si engañas a alguien más. Dirección MAC.

Tomando https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-wireless-access-points-on-a-network como punto de partida, parece bastante claro que cualquier infraestructura inalámbrica decente ser capaz de detectar puntos de acceso no autorizados (incluso un cuadro dd-wrt puede hacer una encuesta inalámbrica para ver qué más hay).

Dado que los administradores controlan el tráfico, las herramientas de IDS como Snort también se pueden aplicar y lo delatarían con bastante rapidez si los administradores quisieran encontrar personas que no cumplieran. Algunos protocolos ni siquiera ocultan que están operando a través de NAT ( RFC7239 tiene encabezados http como X-Forwarded-Forespecíficamente para uso de servidores proxy web). RFC2821 recomienda a los clientes SMTP que envíen un identificador opcional, aunque no es obligatorio.

La única forma en que realmente podría ocultar algo así es hacer que el dispositivo que se conecta a su red envíe todo a una VPN o sistema como TOR, lo que en sí mismo llamaría la atención en su dirección.

Si bien no es exactamente la misma situación, ya que no parecen tener las mismas restricciones, el equipo de seguridad de la Universidad de Cambridge desaprueba el uso de NAT en su red como se ve en la política de Firewalls y Network Address Translation y proporciona algunos antecedentes sobre su razonamiento .

TL; DR : si desea usar más dispositivos, debe pasar por el sistema y la representación de los estudiantes para abordar los problemas que enfrenta, porque si sus administradores quieren atraparlo, lo harán.

Mi red utiliza un sistema que tiene detectores espaciados en todos los edificios, y si aparece un SSID falso, en realidad triangulará la ubicación del dispositivo. El sistema no es barato, pero Dios mío, probablemente sea más rentable a largo plazo si sumas el tiempo que pasas administrando manualmente las direcciones MAC; eso tiene que ser una pesadilla administrativa. De todas las formas de bloquear un sistema, realmente no puedo pensar en una peor manera de hacerlo.

Como han dicho otros, trabaja con los administradores, no intentes vencerlos. Con la tecnología disponible en estos días, ni siquiera necesita un buen administrador de red para atraparlo. Intente cambiar las políticas, vea si se permiten excepciones, etc. Al final estará mejor.

Como otros han dicho, es posible que los administradores detecten puntos de acceso inalámbricos falsos. Pero también es posible detectar dispositivos no autorizados a través de una inspección profunda de paquetes. Las compañías de telefonía móvil pueden usar la inspección profunda de paquetes para detectar el anclaje no autorizado. Puede leerlo en https://android.stackexchange.com/questions/47819/how-can-phone-companies-detect-tethering-incl-wifi-hotspot . Si los paquetes generados por Windows y los paquetes generados por Linux provienen de su dirección MAC al mismo tiempo, es probable que tenga más de un dispositivo conectado.

Por otro lado, la inspección profunda de paquetes es costosa y los administradores pueden no tener el presupuesto para implementarla. O simplemente podrían no estar dispuestos a ir a ese nivel de esfuerzo para atrapar a los tramposos. Pero no lo sabes con seguridad. Probablemente sea mejor hablar con los administradores y ver si puedes resolver algo.

Como se mencionó anteriormente, la respuesta es sí. Un punto de acceso WiFi (un AP) es muy visible. Por ejemplo, un punto de acceso envía una baliza periódica con la dirección MAC. Inspección de paquetes (encabezados TCP, TTL), inspección de tiempo / latencia, cómo responde el nodo a la pérdida de paquetes, qué sitios visita (actualización de Windows o PlayStore), los encabezados HTTP generados por los navegadores pueden apuntar a usar un software de enrutamiento y múltiples dispositivos . Los sistemas no son baratos, pero existen.

Sus opciones son:

• Use soluciones no inalámbricas y ore para que la inspección profunda de paquetes no esté disponible para su administrador y no esté ejecutando un script simple que verifique los sitios de actualización de software visitados.
• Reduzca la potencia de transmisión en todos los dispositivos al mínimo absoluto
• Asegúrese de no estar utilizando navegadores / paquetes de software específicos del dispositivo. Por ejemplo, el mismo MAC no usará IE y Android WebBrowser.