저는 대학생이며 대학의 네트워크 관리자는 MAC 주소 (1 개의 MAC 주소 / 학생)를 사용하여 인터넷에 대한 액세스 권한을 부여합니다. 학생들은 정기적으로 가상 라우팅 소프트웨어를 사용하여 다른 장치에 연결하기위한 핫스팟을 만듭니다 (MAC 스푸핑은 가능한 한 가지 해결 방법이지만, 핸드 헬드 장치 (예 : Android 장치)의 스푸핑에는 루트 액세스가 필요합니다. ).
최근 관리자는 모든 학생에게 핫스팟 사용을 자제하도록 재 지정했습니다. 그렇지 않으면 규정을 준수하지 않는 사람들을 승인합니다 (공인 된 MAC 데이터베이스에서 학생의 MAC 주소를 제거함으로써). 나는 그가 단순한 허세라는 느낌이 강하다.
제 질문은 관리자가 장치가 가상 라우팅을 사용하여 다른 무단 장치에 연결하고 있음을 알 수 있습니까?
참고 : 가상 라우터 네트워크를 정확하게 수행하는 방법과 같은 온라인 리소스 검색을 시도했지만 실질적인 정보를 찾을 수 없었습니다. 누군가 내게 도움이 될만한 자료를 알려 주더라도 감사하겠습니다.
답변
예, 무선 침입 방지 시스템을 사용하여 무선 핫스팟 사용을 식별 할 수 있습니다 .
WIPS의 주요 목적은 무선 장치가 LAN 및 기타 정보 자산에 대한 무단 네트워크 액세스를 방지하는 것입니다. 이러한 시스템은 일반적으로 기존 무선 LAN 인프라에 대한 오버레이로 구현되지만 조직 내에서 무선이없는 정책을 시행하기 위해 독립형으로 배포 될 수 있습니다. 일부 고급 무선 인프라에는 WIPS 기능이 통합되어 있습니다.
답변
WLAN 트래픽 ( “warwalking”?)을 통해 물리적으로 돌아 다니고 핫스팟을 감지하거나 기존 라우터를 사용하여이를 감지하는 것 외에도 트래픽 패턴도 공짜 일 수 있습니다. 핫스팟은 장치와 다른 서명을 가지고 있습니다.
sysadmin (양쪽의 PITA)을 상대로 작업하는 대신 대화하십시오. 왜 그들이 “학생 규칙 당 하나의 MAC”을 가지고 있는지 모르겠습니다 . 어쩌면 그들은 조금 긴장을 풀 수 있습니까? “학생당 2 ~ 3 개의 MAC”이라고 말합니다. 관리하는 데 더 이상 문제가 없습니다.
학생 대표의 정치적 측면이 귀하의 대학에서 어떻게 작동하는지 모르겠지만 종종 학생들 은 어떤 방식 으로든 자신의 관심사를 말할 수 있습니다 . 예, 이것은 핫스팟을 설정하는 것보다 느리지 만 더 효과적입니다.
답변
저는 대학의 네트워크 관리자 보조원으로 일했습니다. 세대 별 차이 문제로 들리거나 학교 네트워크에서 각 학생, 교직원 등에 대해 둘 이상의 장치를 처리 할 수 없습니다. 모든 학생이 정책에서 허용하는 것보다 많은 장치를 가지고있을 것입니다.
짧은 대답은 예입니다. 무단 액세스를 감지 할 수 있습니다. 아니요,하지 마십시오. 나는 정기적으로 네트워크 위반 (파일 공유, 불법 소프트웨어, 바이러스, 컴퓨터 실의 포르노 등)에 대한 액세스를 취소했습니다. 대학에 컴퓨터가 없으면 상당히 힘들 기 때문에 많은 학생들이 학교를 떠나야했습니다. 학생들은 네트워크를 위험에 노출시킵니다. 누군가의 무단 장치가 바이러스에 감염되어 박사 연구와 논문을 삭제 한 경우 어떻게해야합니까? 지금 농담이라고 생각되면 직장에서 시도해보고 무슨 일이 일어나는지보십시오.
네트워크 관리자, 학생 정부, 관리 부서와 협력하여 학교 네트워크 및 / 또는 공용 구역 (대부분의 커피 숍의 무료 WiFi 등)에있을 필요가없는 “다른 장치”에 대한 추가 무선 액세스를 얻습니다. ). 이렇게하면 “실제”학교 네트워크의로드가 방지되고 원하는 인터넷 액세스가 가능합니다.
답변
네트워크에서 이러한 종류의 동작을 감지하는 몇 가지 방법을 생각할 수 있습니다. 맥이 아닌 포트로 연결을 제한하는 것이 실제로해야 할 때 제한은 크지 않지만, 다른 사람을 스푸핑하려는 경우 쉬운 (타겟팅 된) 서비스 거부 공격을 생성하더라도 네트워크와 규칙입니다. MAC 주소.
https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-wireless-access-points-on-a-network 를 출발점으로 취하면 적절한 무선 인프라가 불량 핫스팟을 감지 할 수 있어야합니다 (dd-wrt 상자에서도 무선 측량을 수행하여 주변에 무엇이 있는지 확인할 수 있습니다).
관리자가 트래픽을 제어하기 때문에 Snort와 같은 IDS 도구를 사용하여 규정을 준수하지 않는 사람을 찾는 데 관심이있는 경우 신속하게 처리 할 수 있습니다. 일부 프로토콜은 NAT를 통해 작동하고 있다는 사실조차 숨기지 않습니다 ( RFC7239 에는 X-Forwarded-For웹 프록시에서 사용하는 것과 같은 http 헤더가 있습니다). RFC2821 은 SMTP 클라이언트가 필수는 아니지만 선택적 식별자를 보내도록 권장 합니다.
네트워크에 연결된 장치 가 VPN이나 TOR와 같은 시스템으로 모든 것을 보내도록하는 것이 유일한 방법 입니다.
캠브리지 대학의 보안 팀은 동일한 제한 사항이없는 것처럼 정확히 동일한 상황은 아니지만 방화벽 및 네트워크 주소 변환 정책 에서 볼 수 있듯이 네트워크에서 NAT를 사용하는 것에 대해 눈살을 찌푸리고 추론에 대한 배경을 제공합니다. .
TL; DR- 더 많은 장치를 사용하려는 경우 시스템 및 학생 표현을 통해 직면 한 문제를 해결해야합니다.
답변
내 네트워크는 건물 전체에 검출기가있는 시스템을 사용하며, 불량 SSID가 표시되면 실제로 장치의 위치를 삼각 측량합니다. 시스템은 저렴하지는 않지만 좋은 주입니다. MAC 주소를 수동으로 관리하는 데 소요되는 시간을 늘리면 장기적으로 더 비용 효율적일 것입니다. 그것은 행정적인 악몽이어야합니다. 시스템을 잠그는 모든 방법 중에서 실제로 더 나쁜 방법은 생각할 수 없습니다.
다른 사람들이 말했듯이, 관리자와 함께 일하십시오. 요즘 사용 가능한 기술을 사용하면 훌륭한 네트워크 관리자가 필요하지 않습니다. 정책을 변경하고 예외가 허용되는지 확인하십시오. 결국 더 나아질 것입니다.
답변
다른 사람들이 말했듯이, 관리자는 악성 무선 핫스팟을 탐지 할 수 있습니다. 그러나 심층 패킷 검사를 통해 무단 장치를 감지 할 수도 있습니다. 휴대폰 회사는 심층 패킷 검사를 사용하여 무단 테 더링을 탐지 할 수 있습니다. https://android.stackexchange.com/questions/47819/how-can-phone-companies-detect-tethering-incl-wifi-hotspot 에서 읽을 수 있습니다 . Windows 생성 패킷과 Linux 생성 패킷이 동시에 MAC 주소에서 오는 경우 둘 이상의 장치가 연결되었을 수 있습니다.
반면에 심층 패킷 검사는 비용이 많이 들고, 관리자는이를 구현할 예산이 없을 수 있습니다. 또는 단순히 사기꾼을 잡으려는 수준의 노력으로 가고 싶지 않을 수도 있습니다. 그러나 당신은 그것을 확실하지 않습니다. 관리자에게 문의하여 문제를 해결할 수 있는지 확인하는 것이 가장 좋습니다.
답변
위에서 언급했듯이 대답은 ‘예’입니다. WiFi 핫스팟 (AP)이 매우 잘 보입니다. 예를 들어 핫스팟은 MAC 주소와 함께 주기적 비콘을 보냅니다. 패킷 검사 (TCP 헤더, TTL), 타이밍 / 대기 시간 검사, 패킷 손실에 대한 노드 응답 방법, 방문한 사이트 (Windows 업데이트 또는 PlayStore), 브라우저에서 생성 된 HTTP 헤더는 라우팅 소프트웨어 및 여러 장치를 사용할 수 있음 . 시스템은 싸지는 않지만 존재합니다.
옵션은 다음과 같습니다.
- 무선이 아닌 솔루션을 사용하고 관리자가 심층 패킷 검사를 사용할 수없고 방문한 소프트웨어 업데이트 사이트를 확인하는 간단한 스크립트를 실행하지 않기를기도하십시오.
- 모든 장치의 전송 전력을 최소로 줄입니다.
- 장치 별 브라우저 / 소프트웨어 패키지를 사용하고 있지 않은지 확인하십시오. 예를 들어, 동일한 MAC은 IE 및 Android WebBrowser를 사용하지 않습니다.