私は大学生であり、私の大学のネットワーク管理者はMACアドレス(1 MACアドレス/学生)を使用してインターネットへのアクセスを許可しています。学生は定期的に仮想ルーティングソフトウェアを使用してホットスポットを作成し、他のデバイスに接続します(MACスプーフィングは回避策の1つですが、Androidデバイスなどのハンドヘルドデバイスでのスプーフィングにはルートアクセスが必要です。 )。
最近、管理者はすべての生徒をホットスポットの使用を控えるようにリダイレクトしました。そうでなければ、彼は準拠していない人を罰します(承認されたMACデータベースから生徒のMACアドレスを削除することによって)。彼はただのブラフだと強く感じています。
私の質問は、デバイスが仮想ルーティングを使用して他の不正なデバイスに接続していることを管理者が知ることはまったく可能ですか?
注:オンラインでリソースを検索しようとしました。たとえば、仮想ルーターネットワークを正確にどのように検索するかなどですが、実質的な情報は見つかりませんでした。誰かが私に役立つリソースを教えてくれれば幸いです。
回答:
はい。ワイヤレスホットスポットの使用は、ワイヤレス侵入防止システムを使用して識別できます。
WIPSの主な目的は、ワイヤレスデバイスによるローカルエリアネットワークおよびその他の情報資産への不正なネットワークアクセスを防止することです。これらのシステムは、通常、既存のワイヤレスLANインフラストラクチャへのオーバーレイとして実装されますが、スタンドアロンで展開して、組織内で非ワイヤレスポリシーを実施することもできます。一部の高度なワイヤレスインフラストラクチャには、WIPS機能が統合されています。
物理的に走り回り、WLANトラフィック(「ウォーウォーク」?)を介してホットスポットを検出するか、既存のルーターを使用して検出するだけでなく、トラフィックパターンも見逃すことができます。ホットスポットにはデバイスとは異なるシグネチャがあります。
システム管理者(両側のPITA)に対して作業する代わりに、彼に相談してください。彼らが「学生ごとに1つのMACルール」を持っている理由がわかりません。「生徒ごとに2つまたは3つのMAC」と言います。面倒な管理は必要ありません。
学生代表の政治的側面が大学でどのように機能するかはわかりませんが、多くの場合、学生は何らかの形で関心を表明できます。はい、これはホットスポットをセットアップするよりも遅いですが、より効果的です。
私は大学のネットワーク管理者のアシスタントとして働いていました。世代の違いの問題のように聞こえるか、学校のネットワークが各生徒、スタッフなどに対して複数のデバイスを処理できないことが考えられます。
短い答えはYESです。不正アクセスを検出できます。いいえ、やらないでください。ネットワーク違反(ファイル共有、違法ソフトウェア、ウイルス、コンピューター室でのポルノなど)のために定期的にアクセスを取り消しました。大学はコンピューターにアクセスできないと非常に難しいため、これらの学生の多くは学校を卒業しなければなりませんでした。学生はネットワークを危険にさらしています。誰かの許可されていないデバイスが、あなたの博士研究と論文を一掃するウイルスを通過させたらどうなりますか?冗談だと思ったら、仕事で試して、何が起こるか見てみましょう。
ネットワーク管理者、学生政府、管理者などと協力して、学校のネットワーク上や共有エリア(ほとんどのコーヒーショップの無料Wi-Fiなど)に配置する必要のない「他のデバイス」の追加のワイヤレスアクセスを取得します)。これにより、「実際の」学校ネットワークへの負荷が防止され、必要なインターネットアクセスが引き続き提供されます。
ネットワークでこの種の動作を検出する方法はいくつか考えられます。実際に彼らがすべきことはmacではなくポートで接続を制限することである場合、制限は素晴らしいものではありませんが、それはあなたが他の誰かのスプーフィングをする場合、簡単な(標的化された)サービス拒否攻撃を作成してもネットワークとルールですMacアドレス。
撮影https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-wireless-access-points-on-a-networkを開始点として、それはかなり明確なようだまともな無線インフラがあろうと不正なホットスポットを検出できるようになります(dd-wrtボックスでさえ、他に何があるかを確認するためにワイヤレス調査を実行できます)。
管理者がトラフィックを制御しているため、SnortのようなIDSツールを使用することもできます。一部のプロトコルは、NATを介して動作していることを隠していません(RFC7239にはX-Forwarded-For、Webプロキシ専用のhttpヘッダーがあります。) RFC2821は、必須ではありませんが、オプションの識別子を送信するようSMTPクライアントにアドバイスします。
そのようなものを実際に隠すことができる唯一の方法は、ネットワークに接続するデバイスに、すべてをVPNまたはTORなどのシステムに送信させることです。
ケンブリッジ大学のセキュリティチームは、同じ制限がないように見えるのとまったく同じ状況ではありませんが、ファイアウォールおよびネットワークアドレス変換ポリシーで見られるように、ネットワークでNATを使用することに眉をひそめ、その推論の背景を提供します。
TL; DR-より多くのデバイスを使用したい場合は、システムと生徒の代表を介して、直面している問題に対処する必要があります。
私のネットワークは、建物全体に検出器が配置されたシステムを利用しており、不正なSSIDが表示された場合、実際にデバイスの位置を三角測量します。システムは安くはありませんが、いいですね、手動でMACアドレスを管理するために費やした時間を追加すれば、長期的にはおそらく費用対効果が高くなります。それは管理上の悪夢でなければなりません。システムをロックダウンするすべての方法の中で、それを実行するより悪い方法を本当に考えることはできません。
他の人が言ったように、管理者と協力して、彼らを打ち負かそうとしないでください。最近利用可能な技術を使用すると、あなたはあなたをキャッチするために優秀なネットワーク管理者さえ必要としません。ポリシーを変更して、例外が許可されているかどうかを確認するなどしてください。最終的には良いでしょう。
他の人が言ったように、管理者が不正な無線ホットスポットを検出することは可能です。しかし、ディープパケットインスペクションを介して不正なデバイスを検出することもできます。携帯電話会社は、ディープパケットインスペクションを使用して、不正なテザリングを検出できます。https://android.stackexchange.com/questions/47819/how-can-phone-companies-detect-tethering-incl-wifi-hotspotでそれについて読むことができます。Windowsで生成されたパケットとLinuxで生成されたパケットの両方がMACアドレスから同時に送信されている場合、複数のデバイスが接続されている可能性があります。
一方、詳細なパケット検査は高価であり、管理者はそれを実装する予算がない場合があります。または、彼らは単にそのレベルの努力で不正行為者を捕まえたくないかもしれません。しかし、あなたは確かにそれを知りません。おそらく管理者に相談して、何か解決できるかどうかを確認するのが最善です。
上記のように、答えはイエスです。WiFiホットスポット(AP)は非常に目立ちます。たとえば、ホットスポットはMACアドレスで定期的なビーコンを送信します。パケットインスペクション(TCPヘッダー、TTL)、タイミング/レイテンシのインスペクション、ノードがパケット損失に応答する方法、アクセスするサイト(Windows UpdateまたはPlayStore)、ブラウザーによって生成されたHTTPヘッダーは、ルーティングソフトウェアと複数のデバイスの使用を指すことができます。システムは安価ではありませんが、存在します。
オプションは次のとおりです。