Mon université me dit que je ne peux pas utiliser de routeur dans mon dortoir. Y a-t-il un moyen de savoir?

8

Nous sommes derrière une sorte de routeurs Cisco et devons nous connecter via l'agent Cisco NAC. Le support technique ici à mon université me dit que si je connecte un routeur "tout le bâtiment perdra l'accès à Internet". Je trouve cela vraiment difficile à croire, et j'aimerais savoir: 1. Peut-il savoir si j'utilise un routeur et 2. Comment pourraient-ils même savoir si le routeur utilise NAT?

networking routing therin
la source
2
Je ne pense pas que c'était une «menace». Je soupçonne que leur réseau, comme beaucoup d'autres, ne peut pas gérer un deuxième serveur DHCP (tel qu'un routeur typique) apparaissant soudainement sur le réseau.
Rushyo
3 réponses, avec 10 votes mais personne n'a voté pour la question; les gens ont besoin d'utiliser plus souvent le vote positif :) +1 Vote positif. Dans ma chambre, j'utilise un routeur sans fil qui est connecté au réseau universitaire via Ethernet. Ethernet est connecté au port WAN. Aucun problème jusqu'à présent. Et j'ai connecté un Macbook et un iPod en même temps. Je pense que le problème clé que vous pourriez avoir est si vous n'utilisez pas le port WAN. Mais si vous utilisez le port WAN, ça devrait aller. Essayez-le.
Nerian
4
Je doute que cela fasse tomber l'ensemble du réseau, c'est juste un avertissement afin qu'ils puissent légitimement vous blâmer pour tout problème si vous allez à l'encontre de leur avertissement et de leur politique. Aucune raison d'exécuter un routeur dans un dortoir, utilisez simplement un commutateur stupide si vous avez besoin de plus de ports.
Moab
Essayez-vous d'éviter d'acheter un autre appareil? Si vous avez un "routeur" DSL ou sans fil à 4 ports, sachez que ces appareils sont en réalité des commutateurs et des routeurs. Si vous désactivez DHCP sur l'appareil, vous pouvez brancher votre connexion Internet scolaire sur un port LAN et vos autres appareils sur un port LAN, et l'utiliser comme commutateur. Ne branchez rien sur le port WAN.
LawrenceC

Réponses:

8

En plus de la réponse (correcte) de PulpSpy, il est également possible de détecter des routeurs (NAT ou non) en regardant le champ TTL des paquets IP sortants. Les stations d'extrémité définissent généralement TTL sur un nombre connu, tel que 64, 254, ou quelques autres alternatives en fonction du système d'exploitation. Quand une majorité de paquets sont un de moins que cela, comme 63 et ainsi de suite, cela indique qu'il y avait un saut de routeur entre les deux.

Jakob Borg
la source
Cela peut être contourné en réinitialisant le TTL sur le routeur.
Bogdan Maxim
@Bogdan Sure. Cependant, peu de routeurs domestiques ont cette capacité, et cela brise les spécifications IP. Et puis, bien sûr, ils pourraient déployer DPI et vous attraper en voyant différents en-têtes d'agent utilisateur HTTP et un million d'autres façons. :)
Jakob Borg
5

Oui, ils peuvent probablement le dire. Le routage NAT réaffectera tous les numéros de port pour conserver directement le trafic provenant de quel ordinateur. Par conséquent, votre trafic sera étrange et lorsque plusieurs ordinateurs sont connectés, ils se trouvent généralement sur des ports adjacents. Ce ne serait pas une preuve, mais suffisant pour attirer l'attention s'ils le recherchaient spécifiquement.


la source
3

En plus du TTL déjà mentionné dans les autres réponses, ils pourraient utiliser l'empreinte DHCP de votre routeur lorsqu'il obtiendra une IP de son port WAN.

Je le sais parce que je travaille sur le NAC open source PacketFence (un concurrent de Cisco NAC) et nous utilisons de telles astuces.

Voici la liste des empreintes digitales DHCP reconnues dans PacketFence: http://packetfence.org/dhcp_fingerprints.conf

Nous savons qu'il est également utilisé par d'autres produits.

Olivier Bilodeau
la source
1

Ils peuvent savoir si votre appareil est un routeur s'il diffuse des paquets de routage (RIP, OSPF) et par l'adresse MAC de l'interface Ethernet externe.

Toute interface diffusant un appareil Cisco (ou un autre fournisseur de routeur) attirera l'attention.

Amusez-vous à apprendre et essayez de ne pas vous faire suspendre dans le processus!

goodguys_activate
la source
0

J'ai du mal à croire que les architectes de réseau d'une université se laisseraient vulnérables à une panne de réseau TOTALE, dans le cas où un étudiant branche un routeur dans la prise de son dortoir. La chance qu'un étudiant puisse essayer une telle chose est assez élevée (en témoigne ce post, par exemple).

La réponse du rasoir de l'Occam, c'est que le gars du support technique essayait probablement de vous faire peur, plutôt que de dire qu'il ne savait tout simplement pas.

De plus, dans une architecture peer-to-peer (contrairement, par exemple, au SNA où vous POUVEZ jeter la totalité du réseau en prétendant être le NCP), la probabilité que quelque chose comme un conflit de périphérique provoque une défaillance complète du réseau est assez faible. Il POURRAIT ÊTRE que votre routeur reçoive en quelque sorte (ou vous le définissez vous-même) la même adresse IP de l'un des propres centres de distribution du bâtiment du dortoir, mais il POURRAIT ÉGALEMENT qu'un astéroïde frappe votre bâtiment.

Mais supposons que cela se produise: tant que le routeur Cisco ne redémarre pas, rien ne se passe et votre routeur se plaint simplement de ne pas pouvoir obtenir une connexion appropriée. En outre, le routeur Cisco signalerait probablement la collision IP en double dans un journal quelque part (que les opérateurs ou les administrateurs réseau remarqueraient).

Greg Gauthier
la source