네트워크 관리자가 가상 ​​라우터를 사용하여 무단 장치의 인터넷에 액세스하고 있음을 알 수 있습니까?


52

저는 대학생이며 대학의 네트워크 관리자는 MAC 주소 (1 개의 MAC 주소 / 학생)를 사용하여 인터넷에 대한 액세스 권한을 부여합니다. 학생들은 정기적으로 가상 라우팅 소프트웨어를 사용하여 다른 장치에 연결하기위한 핫스팟을 만듭니다 (MAC 스푸핑은 가능한 한 가지 해결 방법이지만, 핸드 헬드 장치 (예 : Android 장치)의 스푸핑에는 루트 액세스가 필요합니다. ).

최근 관리자는 모든 학생에게 핫스팟 사용을 자제하도록 재 지정했습니다. 그렇지 않으면 규정을 준수하지 않는 사람들을 승인합니다 (공인 된 MAC 데이터베이스에서 학생의 MAC 주소를 제거함으로써). 나는 그가 단순한 허세라는 느낌이 강하다.

제 질문은 관리자가 장치가 가상 라우팅을 사용하여 다른 무단 장치에 연결하고 있음을 알 수 있습니까?

참고 : 가상 라우터 네트워크를 정확하게 수행하는 방법과 같은 온라인 리소스 검색을 시도했지만 실질적인 정보를 찾을 수 없었습니다. 누군가 내게 도움이 될만한 자료를 알려 주더라도 감사하겠습니다.

답변:


41

예, 무선 침입 방지 시스템을 사용하여 무선 핫스팟 사용을 식별 할 수 있습니다 .

WIPS의 주요 목적은 무선 장치가 LAN 및 기타 정보 자산에 대한 무단 네트워크 액세스를 방지하는 것입니다. 이러한 시스템은 일반적으로 기존 무선 LAN 인프라에 대한 오버레이로 구현되지만 조직 내에서 무선이없는 정책을 시행하기 위해 독립형으로 배포 될 수 있습니다. 일부 고급 무선 인프라에는 WIPS 기능이 통합되어 있습니다.


17
그들은 MAC 주소를 통해 알지 못하지만 승인되지 않은 wifi 지점을 찾을 수 있습니다. 나의 마지막 직업에서 우리는 일반적으로 방에 정확하고 승인되지 않은 모든 와이파이 포인트의지도를 얻었습니다. 우리는 사람들을 하나의 MAC 주소로 제한하지 않았습니다. 너무 제한적입니다. 우리는 단지 불량 Wi-Fi 포인트를 원하지 않았습니다. 학생들은 주택, 학장, 행정 및 우리가 그들을 제한하려고한다면 누구에게나 불평 할 것입니다. 우리는 평균 학생이 기숙사에서 Wi-Fi에 3-5 대의 기기를 사용하고 기숙사에 2 대를 사용하는 것을 발견했습니다. (전화, 태블릿, 노트북, Xbox, 플레이 스테이션 등)
MikeP

7
사용하려는 다른 장치에 따라 해결책은 컴퓨터에서 하나 이상의 네트워킹 케이블로 합법적 인 연결을 연결하고 연결하는 것입니다. 그것들은 방의 물리적 검사가 부족하지 않습니다.
SeldomNeedy

2
연결 공유를 감지하는 쉬운 방법 중 하나는 장치에서 시작된 IP 패킷의 TTL 값을 검사하는 것입니다. 다양한 운영 체제 및 장치에 대한 기본 TTL 값 목록이 있습니다. 시스템이 TTL (기본값 -1, 예를 들어 128이 기본값 목록에 표시되고 127이 아닌 경우 127)을 감지하면 패킷이 공유 연결의 장치에서 나온 것입니다. 일부 3G 모바일 제공 업체도이 트릭을 사용합니다.
xmp125a

3
WIPS는 무선 범위 내의 모든 액세스 포인트를 감지합니다. 네트워크 (또는 모든 네트워크)에 액세스 할 수없는 AP도 마찬가지로 감지되어 관리자를 미치게됩니다.
Agent_L

2
@ xmp125a iptables 사용과 같이 컴퓨터가 모든 나가는 패킷에서 동일한 TTL을 설정하도록 할 수 있습니다.
v7d8dpo4

38

WLAN 트래픽 ( "warwalking"?)을 통해 물리적으로 돌아 다니고 핫스팟을 감지하거나 기존 라우터를 사용하여이를 감지하는 것 외에도 트래픽 패턴도 공짜 일 수 있습니다. 핫스팟은 장치와 다른 서명을 가지고 있습니다.

sysadmin (양쪽의 PITA)을 상대로 작업하는 대신 대화하십시오. 그들이 "학생 규칙 당 하나의 MAC"을 가지고 있는지 모르겠습니다 . 어쩌면 그들은 조금 긴장을 풀 수 있습니까? "학생당 2 ~ 3 개의 MAC"이라고 말합니다. 관리하는 데 더 이상 문제가 없습니다.

학생 대표의 정치적 측면이 귀하의 대학에서 어떻게 작동하는지 모르겠지만 종종 학생들 어떤 방식 으로든 자신의 관심사를 말할 수 있습니다 . 예, 이것은 핫스팟을 설정하는 것보다 느리지 만 더 효과적입니다.


3
라우터가 아닌 기존 액세스 포인트에는 실제로 이러한 감지 기능이 있습니다. 특히 UniFi와 같은 중앙 컨트롤러와 함께 제공되는 액세스 포인트는 건물 어디에서나 감지 된 모든 '악의적'AP 목록을 보여줍니다.
grawity

3
여러 MAC의 경우 추가 작업을 원하지 않을 수도 있습니다 (각각의 모든 학생의 MAC 주소를 라우터의 허용 목록에 추가하는 것은 확실히 성가시다). 어쩌면 그들은 대신 암호 로그인을 할 수 있다는 것을 알게 될 것입니다.
grawity

1
답변 감사합니다! 그리고 좋은 생각, 나는 학생 협회 책임자에게 연락 할 것입니다 :) @grawity, 좋은 제안 관리자와 이것을 논의 할 것입니다 :)
Tanmay Garg

17
@grawity 더 나은 방법으로, 그들은 전 세계 다른 대학에서도 작동하는 암호 로그인을 갖도록 eduroam 과 같은 것의 일부가 될 수 있습니다.
Bakuriu

엔터프라이즈 Wi-Fi 소프트웨어 (Cisco에서 제공)는 인증 된 모든 인증되지 않은 장치 및 해당 위치의 실제 맵을 제공 할 수 있습니다. 찾기 쉽다.
MikeP

20

저는 대학의 네트워크 관리자 보조원으로 일했습니다. 세대 별 차이 문제로 들리거나 학교 네트워크에서 각 학생, 교직원 등에 대해 둘 이상의 장치를 처리 할 수 ​​없습니다. 모든 학생이 정책에서 허용하는 것보다 많은 장치를 가지고있을 것입니다.

짧은 대답은 예입니다. 무단 액세스를 감지 할 수 있습니다. 아니요,하지 마십시오. 나는 정기적으로 네트워크 위반 (파일 공유, 불법 소프트웨어, 바이러스, 컴퓨터 실의 포르노 등)에 대한 액세스를 취소했습니다. 대학에 컴퓨터가 없으면 상당히 힘들 기 때문에 많은 학생들이 학교를 떠나야했습니다. 학생들은 네트워크를 위험에 노출시킵니다. 누군가의 무단 장치가 바이러스에 감염되어 박사 연구와 논문을 삭제 한 경우 어떻게해야합니까? 지금 농담이라고 생각되면 직장에서 시도해보고 무슨 일이 일어나는지보십시오.

네트워크 관리자, 학생 정부, 관리 부서와 협력하여 학교 네트워크 및 / 또는 공용 구역 (대부분의 커피 숍의 무료 WiFi 등)에있을 필요가없는 "다른 장치"에 대한 추가 무선 액세스를 얻습니다. ). 이렇게하면 "실제"학교 네트워크의로드가 방지되고 원하는 인터넷 액세스가 가능합니다.


16
이것은 고의적으로 부서진 ISP 서비스를 제공함으로써 학생에게 책임을 부여하는 것과 비슷합니다.
March Ho

10
모든 스타 벅스는 모든 장치가 네트워크에 잘 연결되도록 허용함으로써 발생하는 "위험"을 관리 할 수있는 것 같습니다.
Random832

20
대학은 본질적으로 ISP입니다. 단순히 네트워크를 '적대적'또는 '안전하지 않은'것으로 생각하십시오. '보안'네트워크 항목을 학생, 직원 또는 직원 시스템과 혼합하지 마십시오. 학교와 직장에서 BYOD 세계입니다.
MikeP

21
누군가의 무단 장치가 바이러스에 감염되어 박사 연구와 논문을 삭제 한 경우 어떻게됩니까? 승인 된 장치가 동일한 작업을 수행하면 어떻게됩니까? 허가받지 않은 모바일 장치는 일반적으로 바이러스 / 악성 프로그램에 덜 취약하기 때문에 권한이 부여 된 컴퓨터보다 네트워크에 덜 위험 할 수 있습니다.
duskwuff

11
누군가의 무단 장치가 바이러스에 감염되어 박사 연구와 논문을 삭제 한 경우 어떻게됩니까? <<< 그렇다면 인증 된 컴퓨터라면 괜찮을까요? MAC 주소 제한은 어떻게 관련이 있습니까? 네트워크가 공격에 취약한 경우 관리자의 책임입니다. 회사에 BYOD 정책이있는 경우 감염된 장치를 관리하기위한 인프라가 있어야합니다. 안전하지 않은 장치에 대한 보안 네트워크를 만드는 것은 어렵거나 비용이 많이 드는 작업이 아닙니다. -이 결과로 누군가의 논문을 위험에 빠뜨리는 것은 순전히 무능합니다.
Michael B

7

네트워크에서 이러한 종류의 동작을 감지하는 몇 가지 방법을 생각할 수 있습니다. 맥이 아닌 포트로 연결을 제한하는 것이 실제로해야 할 때 제한은 크지 않지만, 다른 사람을 스푸핑하려는 경우 쉬운 (타겟팅 된) 서비스 거부 공격을 생성하더라도 네트워크와 규칙입니다. MAC 주소.

https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-wireless-access-points-on-a-network 를 출발점으로 취하면 적절한 무선 인프라가 불량 핫스팟을 감지 할 수 있어야합니다 (dd-wrt 상자에서도 무선 측량을 수행하여 주변에 무엇이 있는지 확인할 수 있습니다).

관리자가 트래픽을 제어하기 때문에 Snort와 같은 IDS 도구를 사용하여 규정을 준수하지 않는 사람을 찾는 데 관심이있는 경우 신속하게 처리 할 수 ​​있습니다. 일부 프로토콜은 NAT를 통해 작동하고 있다는 사실조차 숨기지 않습니다 ( RFC7239 에는 X-Forwarded-For웹 프록시에서 사용하는 것과 같은 http 헤더가 있습니다). RFC2821 은 SMTP 클라이언트가 필수는 아니지만 선택적 식별자를 보내도록 권장 합니다.

네트워크에 연결된 장치 가 VPN이나 ​​TOR와 같은 시스템으로 모든 것을 보내도록하는 것이 유일한 방법 입니다.

캠브리지 대학의 보안 팀은 동일한 제한 사항이없는 것처럼 정확히 동일한 상황은 아니지만 방화벽 및 네트워크 주소 변환 정책 에서 볼 수 있듯이 네트워크에서 NAT를 사용하는 것에 대해 눈살을 찌푸리고 추론에 대한 배경을 제공합니다. .

TL; DR- 더 많은 장치를 사용하려는 경우 시스템 및 학생 표현을 통해 직면 한 문제를 해결해야합니다.


1
VPN 댓글 +1! 모든 트래픽을 숨기는 쉬운 방법입니다. 관심이 높아질 것 같지 않습니다. 관리자에게 업무용 또는 무언가를 말하고 있다고 알려주십시오. 즉. 회사 VPN에 연결 중이며 그 이외의 정보를 공개 할 수 없습니다. lol
maplemale

@maplemale-사용중인 mac 주소의 수를 걱정하는 모든 sysadmin이 tor / vpn 트래픽을 찾는 것에 절대적으로 관심이 있다고 생각합니다.
제임스 스넬

개인 VPN이 사용 중인지 어떻게 알 수 있습니까? 알려진 IP 목록을 통해 퍼블릭 VPN을 탐지하고 차단하는 방법을 알 수 있습니다. 그러나 sysadmin이 패킷 수준에서 식별 된 프로토콜을 찾지 않는 한 (그가 방화벽을 정교하지는 않을 것입니다) VPN을 사용하고 있다고 어떻게 말할 수 있습니까? 둘째, 왜 그들은 신경 쓰겠습니까? 합법적 인 이유로 교직원과 학생들이 VPN을 네트워크 전체에서 사용하는 것 같습니다. VPN 트래픽을 차단하려고하면 미끄러운 것처럼 보입니다. 예를 들어, 몇 명의 학생이 부업을 막고 있습니까?
maplemale

@maplemale-내 네트워크에서 누군가를 잡을 수는 있지만 그렇게 발전하지는 않았습니다. 나머지는 여기에서 검색하여 답변을 찾을 수 없는지 묻는 좋은 질문처럼 들립니다. 개인적으로 내가 관리자라면 누군가 방화벽을 통해 어디를 아는 사람에게 구멍을 뚫는 것에 대해 할 말이 있습니다. 특히 대학에서 연구 시설을 공격하는 데 주정부 후원 해커의 관심을 기울였습니다. 나는 당신을 연결 해제 한 후 무슨 일이 일어나고 있는지에 대해 상당히 깊이있는 '채팅'을하고 싶을 것입니다 ...
James Snell

그것이 "고급"이 아니라면 왜 설명하지 않겠습니까? "나머지"는 질문보다 더 많은 진술이었습니다.
maplemale

5

내 네트워크는 건물 전체에 검출기가있는 시스템을 사용하며, 불량 SSID가 표시되면 실제로 장치의 위치를 ​​삼각 측량합니다. 시스템은 저렴하지는 않지만 좋은 주입니다. MAC 주소를 수동으로 관리하는 데 소요되는 시간을 늘리면 장기적으로 더 비용 효율적일 것입니다. 그것은 행정적인 악몽이어야합니다. 시스템을 잠그는 모든 방법 중에서 실제로 더 나쁜 방법은 생각할 수 없습니다.

다른 사람들이 말했듯이, 관리자와 함께 일하십시오. 요즘 사용 가능한 기술을 사용하면 훌륭한 네트워크 관리자가 필요하지 않습니다. 정책을 변경하고 예외가 허용되는지 확인하십시오. 결국 더 나아질 것입니다.


SSID를 숨기면 어떻게됩니까? 또한 SSID 스캔은 로컬 네트워크에 반드시 연결되어 있지 않아도 테 더링으로 설정된 4G 라우터 또는 전화 일 수 있으므로 실현 가능하지 않습니다.
TJJ

따라서 사용자가 휴대 전화에서 테 더링을 활성화하거나 4G 라우터를 구매하면 다음과 같이 표시됩니다.
TJJ

3

다른 사람들이 말했듯이, 관리자는 악성 무선 핫스팟을 탐지 할 수 있습니다. 그러나 심층 패킷 검사를 통해 무단 장치를 감지 할 수도 있습니다. 휴대폰 회사는 심층 패킷 검사를 사용하여 무단 테 더링을 탐지 할 수 있습니다. https://android.stackexchange.com/questions/47819/how-can-phone-companies-detect-tethering-incl-wifi-hotspot 에서 읽을 수 있습니다 . Windows 생성 패킷과 Linux 생성 패킷이 동시에 MAC 주소에서 오는 경우 둘 이상의 장치가 연결되었을 수 있습니다.

반면에 심층 패킷 검사는 비용이 많이 들고, 관리자는이를 구현할 예산이 없을 수 있습니다. 또는 단순히 사기꾼을 잡으려는 수준의 노력으로 가고 싶지 않을 수도 있습니다. 그러나 당신은 그것을 확실하지 않습니다. 관리자에게 문의하여 문제를 해결할 수 있는지 확인하는 것이 가장 좋습니다.


1

위에서 언급했듯이 대답은 '예'입니다. WiFi 핫스팟 (AP)이 매우 잘 보입니다. 예를 들어 핫스팟은 MAC 주소와 함께 주기적 비콘을 보냅니다. 패킷 검사 (TCP 헤더, TTL), 타이밍 / 대기 시간 검사, 패킷 손실에 대한 노드 응답 방법, 방문한 사이트 (Windows 업데이트 또는 PlayStore), 브라우저에서 생성 된 HTTP 헤더는 라우팅 소프트웨어 및 여러 장치를 사용할 수 있음 . 시스템은 싸지는 않지만 존재합니다.

옵션은 다음과 같습니다.

  • 무선이 아닌 솔루션을 사용하고 관리자가 심층 패킷 검사를 사용할 수없고 방문한 소프트웨어 업데이트 사이트를 확인하는 간단한 스크립트를 실행하지 않기를기도하십시오.
  • 모든 장치의 전송 전력을 최소로 줄입니다.
  • 장치 별 브라우저 / 소프트웨어 패키지를 사용하고 있지 않은지 확인하십시오. 예를 들어, 동일한 MAC은 IE 및 Android WebBrowser를 사용하지 않습니다.
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.