É possível detectar clientes por trás de um NAT?

1

Recentemente, o departamento de Rede Residencial da UC Irvine alterou suas políticas de segurança para incluir o seguinte requisito:

Reconfiguration of Home Routers

Home routers will need to have DHCP functionality and network address translation (NAT) disabled.

Agora, eu só me interessei por protocolos de rede, mas achei que é impossível dizer se um dispositivo em sua rede é um roteador que usa NAT ou um cliente que está apenas fazendo muitas conexões, e que DHCP é completamente um sistema operacional agnóstico.

Então, estou pensando: questões sociais à parte *, seria tecnicamente viável reforçar essa política **? (no orçamento de uma rede residencial da universidade, claro)

Eu não sei como eles poderiam fazê-lo, especialmente em uma rede que tem que lidar com usuários mais sofisticados que podem estar fazendo coisas como alterar seu endereço MAC ou modificar a string user-agent do seu navegador (e isso não é verdade? particularmente caro para cheirar?).

Por outro lado, como eu disse antes, eu só me interessei em protocolos de rede, então talvez haja algo óbvio que eu esteja sentindo falta.

* Presumivelmente, após essa mudança de política, eles podem dizer "bem, você não estava seguindo a política, é seu trabalho encontrar o computador que foi infectado e corrigi-lo".

** Tanto quanto eu posso dizer, eles não são realmente. Em teoria, entrou em vigor na semana passada.

    
por Tacroy 20.09.2011 / 07:34

5 respostas

0

Pode ser difícil, mas não impossível. Por exemplo, se você vir um Macintosh e um cliente de navegador do Windows do mesmo IP, provavelmente é o NAT. Ou, se você ver rotineiramente solicitações quase simultâneas de páginas da Web completamente diferentes (digamos, serverfault e TMZ), isso também poderia ser um sinal. Ou, pedidos do ICMP que podem ser "impressos digitalmente" de forma diferente - por exemplo, algumas implentações preenchendo nulas certos pacotes e outros não. Lembre-se, mesmo que eles encontrem pessoas fazendo esses tipos de coisas, ainda é contra a política, então se eles pegarem você fazendo isso, eles ainda podem dizer 'foi contra as regras'. Você quase nunca pode aplicar uma decisão de política por meios técnicos, mas isso permite que eles digam: "Veja, é contra as regras".

    
por 20.09.2011 / 12:45
3

A intenção é provavelmente mais reduzir as chances de as pessoas conectarem seus equipamentos incorretamente e renderizar a redefinição da (s) rede (s) menos do que utilizável com servidores DHCP (dos roteadores NAT) que atendem a endereços IP incorretos.

Como afirmado pela TomTom, é difícil detectar um cliente "normal" de um serviço NAT com vários clientes, mas além do uso mais simultâneo de conexão de porta / aplicativo - uma configuração NAT também tenderá a exibir uma maior utilização de rede também. A combinação de conexões de portas de rede mais ativas e mais utilização de largura de banda pode acionar mais atenção se a análise de rede ativa for realizada.

    
por 20.09.2011 / 09:23
3

Eles também estão preocupados com o fato de os alunos que não são conhecedores de rede obterem roteadores e conectá-los à rede do campus por meio de uma das portas LAN em vez da porta WAN. Quando isso acontece, é possível que os computadores de outros alunos obtenham endereços DHCP do roteador não autorizado em vez do oficial e, é claro, o roteador não irá fornecer qualquer conectividade à Internet (já que sua porta WAN não é plugado em qualquer coisa). Esse problema pode ser muito confuso para as pessoas que acham que estão fazendo tudo certo, e isso causa muitos problemas de suporte para o departamento de rede.

    
por 20.09.2011 / 09:24
1

A diminuição do TTL em pacotes pode ser um sinal de dispositivo (s) NAT.

Google para mais: nat ttl .

    
por 20.09.2011 / 08:21
0

Sim, é - é uma política estúpida ridícula para começar.

Embora o NAT seja transparente na superfície, há certas coisas que podem sugerir toneladas de conexão TCP de um endereço, há certos comportamentos de certas implementações de NAT que fornecem dicas da implementação de NAT usada.

Mas este é um jogo muito difícil de jogar - não confiável.

Dito isto, é um jogo muito vago e eu gostaria de: * Envie-lhes de volta um documento legal onde eles declaram RESPONSABILIDADE LEGAL E FINANCEIRA COMPLETA POR MEUS DADOS, pois eles me forçam a abandonar uma camada padrão de segurança (ou seja, minha rede não pode ser verificada externamente). Eu também pediria uma cobertura de seguro de US $ 5 milhões para ser implantada. * Obter outro provedor e, possivelmente, reduzir o aluguel etc. por quebra de contrato, dependendo do contrato.

É um bom exemplo de como se deve ter uma conexão de internet separada sempre;) Infelizmente nos EUA você é um pouco mais primitivo do que em partes da Europa - aqui eles apenas lançam telefones LTE, que são feitos como substitutos móveis para DSL etc. - Eu precisaria obter um roteador LTE em alguns meses e acabar com eles;)

    
por 20.09.2011 / 07:46

Tags