[GTER] Speedy business - novela de roteamento

[Loureiro, Rodrigo]

Uma forma de contornar essa vulnerabilidade seria dividindo o leasing em
duas partes: token and permanent address. No primeiro caso, o servidor DHCP
built-in no Edge Router/BRAS atribui um endereço transiente, o qual possui
um escopo de roteamento limitado no domínio do backbone/provedor, limitando
esse escopo, por exemplo, a um portal. Para obter um endereço roteável, o
usuário precisa ir ao portal de autenticação. Uma vez autenticado, o Edge
Router é informado dessa mudança de estado e, utilizando
username/senha/domínio entrados no portal, gera um access request radius no
lugar do usuário final para o servidor radius do backbone. Durante o
processo de autorização, pode ser retornado um atributo de pool IP, que será
referenciado pelo Edge Router para designação do endereço permanente ao
usuário final.
 
 
Abraços,
 
--
Rodrigo Loureiro

-----Original Message-----
From: Joao Carlos Mendes Luis [mailto:jonny at jonny.eng.br]
Sent: Monday, May 20, 2002 7:55 AM
To: gter at eng.registro.br
Subject: Re: [GTER] Speedy business - novela de roteamento


Oi Rubens,

Rubens Kuhl Jr. wrote:


Vc pode autenticar o DHCP em função de parâmetros fora do controle do
usuário como VC ATM, DSLAM Port etc.

Quando o meio é não compartilhado, e voce tem essa informação, tudo bem.
Mas e em meios compartilhados, como Cable?



Agora, se alguém tem poder administrativo sobre sua rede, DHCP-forging é
o menor dos seus problemas...


????

Eu estava preocupado com DHCP autenticado por MAC, que é algo facilimo de
mudar no desktop.  Isso nao tem nada a ver com poder administrativo.






Rubens



-----Original Message-----
From:  gter-admin at eng.registro.br <mailto:gter-admin at eng.registro.br>  [
mailto:gter-admin at eng.registro.br <mailto:gter-admin at eng.registro.br> ] On
Behalf Of Joao Carlos Mendes Luis
Sent: Saturday, May 18, 2002 10:06 PM
To:  gter at eng.registro.br <mailto:gter at eng.registro.br> 
Subject: Re: [GTER] Speedy business - novela de roteamento


Carlos Ribeiro wrote:

On Fri 17 May 2002 20:32, you wrote:

Existe uma opção que é o DHCP autenticado por NAS-Port/VC(ADSL) ou 
MAC(Cable).

Aaargh! DHCP não! e agora, ainda tem o CLIIPS (algo do tipo 'client 
less IP alguma coisa', um DHCP melhorado)... tá certo que tem algumas 
aplicações onde isso pode até fazer sentido (tipo cable modem), mas eu

sinceramente não consigo confiar em uma solução baseada em DHCP... (eu

admito o preconceito :-)


    DHCP é OTIMO para evitar ter que passar os dados pro usuário.  Eu
sugiro uso de DHCP até mesmo para quem tem IP Fixo.  Mas autenticar por
DHCP ou MAC não pode ser sujeito a furos de seguranca?

                                        Jonny




======================================= 
This email message is for the sole use of the intended recipient (s) and may
contain confidential and privileged information, including without
limitation, Confidential and/or Proprietary Information belonging to
Unisphere Networks, Inc. Any unauthorized review, use, disclosure or
distribution is prohibited. If you are not the intended recipient, please
contact the sender by reply email and destroy all copies of the original
message.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://eng.registro.br/pipermail/gter/attachments/20020520/a38cf505/attachment.html>