[GTER] Re: Speedy business - novela de roteamento

Mon May 20 13:05:00 -03 2002

Vendo pelo lado da operadora usando DHCP:
 -- Como fica o Accounting de Radius? O START vai aparecer, mas e o STOP? 
Como vai ser?
 -- btw, como fica a troca do endereco invalido para o valido? pelo 
protocolo, o mesmo mac sempre deve receber o mesmo ip. e a tabela arp da 
rede? nao vai baguncar os hosts? SUN/Solaris eh um bom exemplo disso. 

Por experiencia propria, Portal nao ajuda, soh atrapalha. Eu implementei
o uso do portal para mostrar mensagens de manutencao de rede e outras infos 
e descobri que muitos assinantes nao navegam, usam icq, email, etc. 

[]s
Marcelo 

Loureiro, Rodrigo writes: 

> Uma forma de contornar essa vulnerabilidade seria dividindo o leasing em
> duas partes: token and permanent address. No primeiro caso, o servidor DHCP
> built-in no Edge Router/BRAS atribui um endereço transiente, o qual possui
> um escopo de roteamento limitado no domínio do backbone/provedor, limitando
> esse escopo, por exemplo, a um portal. Para obter um endereço roteável, o
> usuário precisa ir ao portal de autenticação. Uma vez autenticado, o Edge
> Router é informado dessa mudança de estado e, utilizando
> username/senha/domínio entrados no portal, gera um access request radius no
> lugar do usuário final para o servidor radius do backbone. Durante o
> processo de autorização, pode ser retornado um atributo de pool IP, que será
> referenciado pelo Edge Router para designação do endereço permanente ao
> usuário final.
>  
>  
> Abraços,
>  
> --
> Rodrigo Loureiro 
> 
> -----Original Message-----
> From: Joao Carlos Mendes Luis [mailto:jonny at jonny.eng.br]
> Sent: Monday, May 20, 2002 7:55 AM
> To: gter at eng.registro.br
> Subject: Re: [GTER] Speedy business - novela de roteamento 
> 
> 
> Oi Rubens, 
> 
> Rubens Kuhl Jr. wrote: 
> 
> 
> Vc pode autenticar o DHCP em função de parâmetros fora do controle do
> usuário como VC ATM, DSLAM Port etc. 
> 
> Quando o meio é não compartilhado, e voce tem essa informação, tudo bem.
> Mas e em meios compartilhados, como Cable? 
> 
>  
> 
> Agora, se alguém tem poder administrativo sobre sua rede, DHCP-forging é
> o menor dos seus problemas... 
> 
> 
> ???? 
> 
> Eu estava preocupado com DHCP autenticado por MAC, que é algo facilimo de
> mudar no desktop.  Isso nao tem nada a ver com poder administrativo. 
> 
>  
> 
>  
> 
> 
> Rubens 
> 
>  
> 
> -----Original Message-----
> From:  gter-admin at eng.registro.br <mailto:gter-admin at eng.registro.br>  [
> mailto:gter-admin at eng.registro.br <mailto:gter-admin at eng.registro.br> ] On
> Behalf Of Joao Carlos Mendes Luis
> Sent: Saturday, May 18, 2002 10:06 PM
> To:  gter at eng.registro.br <mailto:gter at eng.registro.br> 
> Subject: Re: [GTER] Speedy business - novela de roteamento 
> 
> 
> Carlos Ribeiro wrote: 
> 
> On Fri 17 May 2002 20:32, you wrote: 
> 
> Existe uma opção que é o DHCP autenticado por NAS-Port/VC(ADSL) ou 
> MAC(Cable). 
> 
> Aaargh! DHCP não! e agora, ainda tem o CLIIPS (algo do tipo 'client 
> less IP alguma coisa', um DHCP melhorado)... tá certo que tem algumas 
> aplicações onde isso pode até fazer sentido (tipo cable modem), mas eu 
> 
> sinceramente não consigo confiar em uma solução baseada em DHCP... (eu 
> 
> admito o preconceito :-) 
> 
> 
>     DHCP é OTIMO para evitar ter que passar os dados pro usuário.  Eu
> sugiro uso de DHCP até mesmo para quem tem IP Fixo.  Mas autenticar por
> DHCP ou MAC não pode ser sujeito a furos de seguranca? 
> 
>                                         Jonny 
> 
>  
> 
> 
> ======================================= 
> This email message is for the sole use of the intended recipient (s) and may
> contain confidential and privileged information, including without
> limitation, Confidential and/or Proprietary Information belonging to
> Unisphere Networks, Inc. Any unauthorized review, use, disclosure or
> distribution is prohibited. If you are not the intended recipient, please
> contact the sender by reply email and destroy all copies of the original
> message.