最近,加州大学欧文分校的住宅networking部门改变了他们的安全政策 ,包括以下要求:
家庭路由器的重新configuration
家庭路由器将需要具有DHCPfunction和networking地址转换(NAT)禁用。
现在,我只涉及到networking协议,但是我认为不可能知道networking上的设备是使用NAT的路由器还是只是build立大量连接的客户端,而且DHCP完全是OS不可知的。
所以我想知道:除了社会问题*,执行这个政策在技术上是否可行? (当然,大学住宅networking的预算)
我不知道他们是怎么做到的,尤其是在一个networking中,他们需要处理更复杂的用户,他们可能正在改变他们的MAC地址或修改他们的浏览器的用户代理string(对于嗅出?)。
另一方面,就像我之前说过的,我只是涉猎networking协议,所以也许有一些明显的我错过了。
*大概在这个政策改变之后,他们现在可以说“好吧,你没有遵循政策,find被感染的计算机并修复它是你的工作”。
**据我所知,他们其实不是。 理论上上周就开始实行了。
这可能是困难的,但并非不可能。 例如,如果你看到一个Macintosh和一个来自同一个IP的Windows浏览器客户端,那可能是NAT。 或者,如果您经常看到完全不同的网页(比如serverfault和TMZ)的几乎同时请求,那也可能是一个标志。 或者,ICMP请求可以被“指纹化”,例如某些实现空指定某些数据包,有些则不指定。 请记住,即使他们确实发现人们做这些事情,仍然是反对政策的,所以如果他们抓住了这个,他们仍然可以说“这是违反规定的”。 你几乎不可能通过技术手段来完全执行决策,但是这可以让他们说'看,这是违反规定的。
其目的可能更多的是减less人们错误地插入设备的可能性,然后使得networking重置不足以使用DHCP服务器(来自NAT路由器)服务不正确的IP地址。
正如TomTom指出的那样,从服务于多个客户端的NAT中检测“普通”客户端是困难的,但除了同时使用更高的端口/应用程序连接使用率之外,NATconfiguration也将倾向于展现更大的networking利用率足迹。 如果执行主动networking分析,则更活跃的networking端口连接和更多带宽利用率的组合可引起更多关注。
他们还担心,非networking技术的学生通过其中一个LAN端口而不是WAN端口获得路由器并将其插入校园网。 当发生这种情况时,其他学生的计算机可能会从恶意路由器获取DHCP地址,而不是正式的路由器,当然,stream氓路由器也不会提供任何连接到Internet的function(因为WAN端口不是插入任何东西)。 这个问题对于那些认为自己做的一切正确的人来说可能是非常混乱的,并且会给networking部门带来很多的支持麻烦。
数据包中TTL的减less可能是NAT设备的标志。
谷歌更多的: nat ttl 。
是的,这是一个荒谬愚蠢的政策开始。
尽pipeNAT在表面上是透明的,但是某些事情可以暗示来自一个地址的大量的TCP连接,某些NAT实现的某些行为提供了所使用的NAT实现的提示。
但是这是一个非常难打的比赛 – 不可靠。
这就是说,这是一个非常模糊的游戏,我会:*发回给他们一个法律文件,他们宣布对我的数据充分的法律和财务责任,因为他们迫使我放弃一个标准的安全层(即我的networking不可扫描从外部)。 我还会要求部署500万美元的保险或债券。 *取决于合同,获得另一家提供商,并可能减less租金等违约。
这是一个很好的例子,为什么一个人应该有一个单独的互联网连接总是;)可悲的是,在美国,你是一个比在欧洲部分原始 – 这里他们只推出LTE手机,这是作为移动替代DSL等。 – 我会在几个月内获得一台LTE路由器,并且完成它们;)