Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: J4c 13. 11. 2012, 14:20:12
-
Dobry den,
Nas internatny ISP ma v pravidlach , zakaz pripajania routrov na siet.
Chapem , keby to nebolo podchytene , tak si internet na izbach zaplati 1osoba a sosaju ostatny --> nechcem riesit moralnu stranku.
Chcel by som vediet, ake su zhruba (neviem akymi keywords krmit google) postupy na detekciu zariadeni pripojenych na sieti.
V praxi to vyzera tak, ze si zalozim ucet na intrakovskom serveri, a tam si mam pravo hodit 1xMAC s ktorou sa pripajam.
Rad by som sa vsak pripajal aj s mobilom , co by mi poskytoval ten Wifirouter.
Laicky ma napadlo jedine to, ze v routri naklonujem MAC z PC , ale to je fakt prvoplanovy pristup.
Cital som po blogoch spravy, ze ziadny router nieje mozno 100% schovat , teda ze vzdy sa najde nejaky postup akym zistim co je ake zariadenie na sieti.
Nejde mi o to, mat to dokonale, staci aby to nebilo do oci :)
Dakujem predom.
-
Router (pripadna proxy v nem) by se nemela proflaknout nejakym "X-Forwarded-For" ... jinak jsem nekde cetl neco o detekci podle poradoveho cisla paketu ci co...ze router, ktery preposila pakety od nekoho jineho, produkuje pakety s prekryvajicimi se ciselnymi radami...coz pak je podezrele.
Je ale mozne, ze to tvuj poskytovatel nebude nijak detekovat a jen se takovymito podminkami jisti, aby te mel za co odpojit, kdyz zjisti, ze jsi pres svou linku pripojil pul ulice nebo divciho internatu.
-
akurat som nahliadol do banlistu a vyzera, ze celkom proaktivne vyhladavaju routre na sieti.
Vsehovsudy 13 banov v priebehu 5 dni.
Takze to nevyzera len na nejake strasenie a krytie v Zmluvnych podmienkach.
-
Detekce by se dala imho provest pustenim p0f pred routerem, ktery podle specifickych fingerprintu v paketech detekuje OSy, ktere jsou za tim routerem.
Protiopatreni by se dalo imho udelat tak, ze jako router nasadis FreeBSD a budes provadet tzv. packet scrubbing, takze vsechny pakety budou vypadat uniforme.
-
Existuje pěkný nástroj NATdet, který se používá třeba na Strahově (http://www.siliconhill.cz/posts/158-natdet-aneb-jak-chodi-trpaslici-do-sveta). Obecně tohle není problém odhalit, kromě NATu se dá hlídat počet operačních systémů pomocí pasivního fingerprintingu. Jakmile z jedné IP přichází pakety z různých systémů, je tam zjevně NAT a řeže se.
-
Existuje pěkný nástroj NATdet, který se používá třeba na Strahově (http://www.siliconhill.cz/posts/158-natdet-aneb-jak-chodi-trpaslici-do-sveta). Obecně tohle není problém odhalit, kromě NATu se dá hlídat počet operačních systémů pomocí pasivního fingerprintingu. Jakmile z jedné IP přichází pakety z různých systémů, je tam zjevně NAT a řeže se.
Pri takomto vyhľadávaní by som mal problém asi aj v rámci môjho počítača. Na desktope a občas aj na notebooku veľmi často využívam virtuálne stroje, ktoré, prirodzene, sú okrem Gentoo aj Solaris, FreeBSD a iné distribúcie linuxu, hlavne rôzne alfa a beta verzie. V tomto prípade by som sa asi sťažoval, i keď predpokladám že by to nepomohlo a musel by som to riešiť inak (proxy).
-
Řešením je veškeré datové toky schovat do VPN. -> všechno bude v jednom spojení. Ale budeš k tomu potřebovat nějaký stroj(ek) na lajně..
-
Řešení třeba jsou:
SSH tunel - levné, na většině klientských systémů se dá spustit, ale je to takový geekovská záležitost, kde svý pičce budeš možná obtížně vysvětlovat, jak že to spustit a co s tím, když to zrovna nejede.
VPN TUNEL - to už by vyžadovalo nějakou krabičku řekněme za dva-tři tisíce a platit si i třeba VPS na druhé straně.
Protup skrze TOR - nedávno jsem měl v ruce malý router, který uměl trafic posílat na TOR, bohužel TOR býval (nevím jak dnes) líný.
SSL Proxy - tj. malý domácí router za pár korun ti jistě ve svém "pseudoFW" povolí nastavit jednu cílovou adresu s jediným portem, je to jednoduché a na takové to obyčejné brouzdání to stačí, to, že si přes to nikdo nepustí bittonerent, je myslím jen dobře. App, torrent bude nejspíš největší důvod toho banu.
-
Otázka, jestli by nebylo nejlepší se zeptat správce sítě, jak si můžeš připojit mobilní telefon a zkusit se třeba domluvit na výjimce.
Když jsem chodil na střední, tak byly pro studenty povolené odchozí porty jen 80 a 443, jenže já se chtěl připojovat na domácí server po SSH - no tak jsem zašel za správcem, pěkně poprosil, slíbil, že budu hodný a dostal jsem výjimku na mou MAC. :)
A jinak souhlasím s kapitánem - pokud tam není přímo uvedeno, za co ty bany byly, považoval bych za pravděpodobné, že většina z nich bude za bittorrent nebo přílišné stahování obecně.
-
Jan :
Nechcel som sa pytat na mobil, pretoze automaticky by som sa stal mierne podozrivym :)
To je ako prist do banky a vypytovat sa kde vsade maju kamery .
Tie banany su presne dane .
(Porusenie Čl. 4 Prístupové práva a povinnosti (router)
Výmenné siete - Transformers ..... )
Ale dakujem za info, celkom slusne mi to pomohlo pochopit asi ako to funguje :)
-
No, pokud ten admin je rozumný a blokuje se to prostě proto, aby si lidi nesdíleli net mezi sebou, tak by to snad uškodit nemělo a mohl by dát výjimku...
A pokud řekne ne a nepotřebujete připojovat nic dalšího, nestačilo by něco od operátorů? :) já se běžně pohybuju někde kolem 50-100 MB za měsíc, to se vyjde snad i do těch nejnižších nabídek datových paušálů. ( i když občas ustřelím dost nahoru, když pustím přes mobil notebook, jenže když má člověk třípásmové účtování podle využití, od 50,- do 150,-, kde za těch 150 mám neomezená data, tak to moc neřeší. Tedy, tohle jsem měl v čr a zase budu mít po návratu, momentálně si musím vystačit s 1GB FUP za 50 DKK, cca 180 Kč.) :)
-
VPN TUNEL - to už by vyžadovalo nějakou krabičku řekněme za dva-tři tisíce a platit si i třeba VPS na druhé straně.
Ale houbičky, VPN umí i TuPýLink s openwrt za 5 stovek.