最近,加州大学欧文分校住宅网络系改变了他们的安全政策包括以下要求:
家用路由器的重新配置
家庭路由器需要禁用 DHCP 功能和网络地址转换 (NAT)。
现在,我只是涉猎了网络协议,但我认为不可能分辨网络上的设备是使用 NAT 的路由器还是只是建立大量连接的客户端,并且 DHCP 完全与操作系统无关。
所以我想知道:除了社会问题之外*,从技术上讲执行这项政策是否可行**?(当然是在大学住宅网络的预算范围内)
我不知道他们是怎么做到的,特别是在必须处理更复杂的用户的网络中,这些用户可能会执行诸如更改其 MAC 地址或修改其浏览器的用户代理字符串之类的操作(并且嗅探这些操作不是特别昂贵吗?)。
另一方面,就像我之前说过的,我只是涉猎过网络协议,所以也许我忽略了一些明显的东西。
* 据推测,在这次政策改变之后,他们现在可以说“好吧,你没有遵守政策,你的工作是找到被感染的计算机并修复它”。
** 据我所知,实际上并非如此。理论上它上周就已生效。
答案1
这可能很难,但并非不可能。例如,如果您看到 Macintosh 和 Windows 浏览器客户端来自同一 IP,则可能是 NAT。或者,如果您经常看到几乎同时对完全不同的网页发出请求(例如,serverfault 和 TMZ),那也可能是一个迹象。或者,ICMP 请求可以以不同的方式“指纹识别” - 例如,一些实现会将某些数据包填充为空,而另一些则不会。请记住,即使他们确实发现有人在做这些事情,这仍然违反政策,因此如果他们发现你这样做,他们仍然可以说“这是违反规则的”。你几乎永远无法通过技术手段完全执行政策决定,但这允许他们说“看,它是违反规则。
答案2
其目的可能更多地是为了减少人们错误地插入设备的机会,然后导致网络重置变得不可用,因为 DHCP 服务器(来自 NAT 路由器)会提供错误的 IP 地址。
TomTom 表示,很难从为多个客户端提供服务的 NAT 中检测出“正常”客户端,但除了更高的同时端口/应用程序连接使用率之外,NAT 配置也往往会表现出更大的网络利用率。如果执行主动网络分析,更多活动网络端口连接和更多带宽利用率的组合可以引起更多关注。
答案3
他们还担心不懂网络的学生会通过 LAN 端口而不是 WAN 端口将路由器插入校园网络。当这种情况发生时,其他学生的计算机可能会从流氓路由器而不是官方路由器获取 DHCP 地址,当然流氓路由器不会提供任何互联网连接(因为它的 WAN 端口没有插入任何东西)。这个问题会让那些认为自己做得对的人感到非常困惑,并给网络部门带来很多支持麻烦。
答案4
是的——从一开始它就是一个荒谬愚蠢的政策。
虽然 NAT 表面上是透明的,但有些事情可以暗示 - 来自一个地址的大量 TCP 连接,某些 NAT 实现的某些行为可以提示所使用的 NAT 实现。
但这是一个非常难玩的游戏——不可靠。
话虽如此,这是一个非常模糊的游戏,我会:* 向他们寄回一份法律文件,声明对我的数据负有全部法律和财务责任,因为他们迫使我放弃标准的安全层(即我的网络无法从外部扫描)。我还会要求部署 500 万美元的保险或保证金。* 寻找另一家供应商,并可能根据合同减少违约租金等。
这是一个很好的例子,说明了为什么人们应该始终拥有单独的互联网连接;)遗憾的是,在美国,你会比欧洲部分地区更原始一些——这里他们只推出 LTE 手机,作为 DSL 等的移动替代品——我只需在几个月内买一个 LTE 路由器,就可以用它们了;)