Недавно отдел жилой сети UC Irvine изменили свою политику безопасности включить следующее требование:
Реконфигурация домашних маршрутизаторов
Домашние маршрутизаторы должны иметь отключенные функции DHCP и трансляцию сетевых адресов (NAT).
Я только пробовал себя в сетевых протоколах, но подумал, что невозможно определить, является ли устройство в вашей сети маршрутизатором, использующим NAT, или клиентом, который просто устанавливает много подключений, и что DHCP полностью независим от ОС.
Так что мне интересно: помимо социальных проблем *, было бы технически осуществимо применение этой политики **? (разумеется, из бюджета университетской жилой сети)
Я не знаю, как они могли это сделать, особенно в сети, которая имеет дело с более опытными пользователями, которые могут делать такие вещи, как изменение своего MAC-адреса или модификации строки пользовательского агента своего браузера (и это не так уж дорого для нюхать?).
С другой стороны, как я уже говорил, я только когда-либо баловался сетевыми протоколами, так что, возможно, я упускаю что-то очевидное.
* Предположительно, после этого изменения политики они теперь могут сказать «ну, вы не следовали политике, ваша задача - найти зараженный компьютер и исправить его».
** Насколько я могу судить, на самом деле это не так. Теоретически он вступил в силу на прошлой неделе.
Намерение, вероятно, больше похоже на уменьшение вероятности того, что люди неправильно подключат свое оборудование, а затем сделают сброс сети (сетей) менее пригодным для использования с DHCP-серверами (от маршрутизаторов NAT), обслуживающими неправильные IP-адреса.
Как заявляет TomTom, трудно обнаружить «нормального» клиента из NAT, обслуживающего несколько клиентов, но в дополнение к более высокому количеству одновременных подключений порта / приложений - конфигурация NAT также будет иметь тенденцию демонстрировать больший объем использования сети. Сочетание более активных подключений к сетевым портам и большего использования полосы пропускания может привлечь больше внимания, если выполняется активный анализ сети.
Они также обеспокоены тем, что студенты, не разбирающиеся в сетях, получают маршрутизаторы и подключают их к сети кампуса через один из портов LAN вместо порта WAN. Когда это произойдет, компьютеры других студентов могут получить адреса DHCP от мошеннического маршрутизатора вместо официального, и, конечно же, мошеннический маршрутизатор не будет предоставлять какое-либо подключение к Интернету (поскольку его порт WAN не подключен к чему угодно). Эта проблема может сбивать с толку людей, которые думают, что они все делают правильно, и вызывает множество проблем со службой поддержки для сетевого отдела.
Уменьшение TTL в пакетах может быть признаком устройства (а) NAT.
Google, чтобы узнать больше: Нат ТТЛ.
Это может быть сложно, но возможно. Например, если вы видите Macintosh и клиент браузера Windows с одного и того же IP-адреса, вероятно, это NAT. Или, если вы регулярно видите почти одновременные запросы для совершенно разных веб-страниц (например, serverfault и TMZ), это также может быть признаком. Или запросы ICMP, которые могут быть «сняты отпечатками пальцев» по-другому, например некоторые реализации заполняют определенные пакеты нулями, а некоторые - нет. Помните, что даже если они обнаруживают, что люди делают подобные вещи, это все равно противоречит политике, поэтому, если они поймают вас на этом, они все равно могут сказать: «это было против правил». Вы почти никогда не сможете полностью реализовать политическое решение с помощью технических средств, но это позволяет им сказать: «Смотрите, это является против правил.
Да, это так - это всегда смешная глупая политика с самого начала.
Хотя NAT внешне прозрачен, есть определенные вещи, которые могут намекать - тонны TCP-соединений с одного адреса, есть определенные варианты поведения определенных реализаций NAT, которые дают подсказки об используемой реализации NAT.
Но это ОЧЕНЬ сложная игра - ненадежная.
Тем не менее, это очень расплывчатая игра, и я бы: * Отправил бы им обратно юридический документ, в котором они объявляют ПОЛНУЮ ЮРИДИЧЕСКУЮ И ФИНАНСОВУЮ ОТВЕТСТВЕННОСТЬ ЗА МОИ ДАННЫЕ, поскольку они вынуждают меня отказаться от стандартного уровня безопасности (т. Е. Моя сеть не сканируется снаружи). Я также прошу предоставить страховое покрытие в размере 5 миллионов долларов США или залог. * Обратитесь к другому поставщику услуг и, возможно, уменьшите арендную плату и т. Д. За нарушение контракта, в зависимости от контракта.
Это хороший пример того, почему нужно всегда иметь отдельное интернет-соединение;) К сожалению, в США вы немного примитивнее, чем в некоторых частях Европы - здесь просто выпускают телефоны LTE, которые сделаны в качестве мобильной замены DSL и т. Д. - Я бы просто купил маршрутизатор LTE через несколько месяцев и покончил с ними;)