[GTER] Speedy business - novela de roteamento

Renato Wada renato_wada at optiglobe.com.br
Mon May 20 14:10:00 -03 2002 

 
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Oi Rodrigo, 
 
    A sua solução é mais ou menos o que pessoal esta adotando como padrão para
usuários domesticos. O problema é quando temos um produto como o Speedy
Business. Nestes casos, não se pode esperar que algum usuário se autentique.
Imagine que um servidor de um cliente com IP fixo caia num fim de semana. O
administrador teria que ir até a empresa para subir o servidor ou esperar até a
segunda-feira? 
 
[]s,
 
- -- 
Renato Mitsuo Wada 
Network Security Analyst 
OptiGlobe Communications 
http://www.optiglobe.com.br <http://www.optiglobe.com.br/>  

- -----Original Message-----
From: Loureiro, Rodrigo [mailto:RLoureiro at unispherenetworks.com]
Sent: Monday, May 20, 2002 12:27 PM
To: 'gter at eng.registro.br'
Subject: RE: [GTER] Speedy business - novela de roteamento


Uma forma de contornar essa vulnerabilidade seria dividindo o leasing em duas
partes: token and permanent address. No primeiro caso, o servidor DHCP built-in
no Edge Router/BRAS atribui um endereço transiente, o qual possui um escopo de
roteamento limitado no domínio do backbone/provedor, limitando esse escopo, por
exemplo, a um portal. Para obter um endereço roteável, o usuário precisa ir ao
portal de autenticação. Uma vez autenticado, o Edge Router é informado dessa
mudança de estado e, utilizando username/senha/domínio entrados no portal, gera
um access request radius no lugar do usuário final para o servidor radius do
backbone. Durante o processo de autorização, pode ser retornado um atributo de
pool IP, que será referenciado pelo Edge Router para designação do endereço
permanente ao usuário final.
 
 
Abraços,
 
- --
Rodrigo Loureiro

- -----Original Message-----
From: Joao Carlos Mendes Luis [mailto:jonny at jonny.eng.br]
Sent: Monday, May 20, 2002 7:55 AM
To: gter at eng.registro.br
Subject: Re: [GTER] Speedy business - novela de roteamento


Oi Rubens,

Rubens Kuhl Jr. wrote:


Vc pode autenticar o DHCP em função de parâmetros fora do controle do
usuário como VC ATM, DSLAM Port etc.

Quando o meio é não compartilhado, e voce tem essa informação, tudo bem.  Mas e
em meios compartilhados, como Cable?



Agora, se alguém tem poder administrativo sobre sua rede, DHCP-forging é
o menor dos seus problemas...


????

Eu estava preocupado com DHCP autenticado por MAC, que é algo facilimo de mudar
no desktop.  Isso nao tem nada a ver com poder administrativo.






Rubens



- -----Original Message-----
From:  gter-admin at eng.registro.br [ mailto:gter-admin at eng.registro.br] On
Behalf Of Joao Carlos Mendes Luis
Sent: Saturday, May 18, 2002 10:06 PM
To:  gter at eng.registro.br
Subject: Re: [GTER] Speedy business - novela de roteamento


Carlos Ribeiro wrote:

On Fri 17 May 2002 20:32, you wrote:

Existe uma opção que é o DHCP autenticado por NAS-Port/VC(ADSL) ou 
MAC(Cable).

Aaargh! DHCP não! e agora, ainda tem o CLIIPS (algo do tipo 'client 
less IP alguma coisa', um DHCP melhorado)... tá certo que tem algumas 
aplicações onde isso pode até fazer sentido (tipo cable modem), mas eu

sinceramente não consigo confiar em uma solução baseada em DHCP... (eu

admito o preconceito :-)


    DHCP é OTIMO para evitar ter que passar os dados pro usuário.  Eu
sugiro uso de DHCP até mesmo para quem tem IP Fixo.  Mas autenticar por
DHCP ou MAC não pode ser sujeito a furos de seguranca?

                                        Jonny




======================================= 

This email message is for the sole use of the intended recipient (s) and may
contain confidential and privileged information, including without limitation,
Confidential and/or Proprietary Information belonging to Unisphere Networks,
Inc. Any unauthorized review, use, disclosure or distribution is prohibited. If
you are not the intended recipient, please contact the sender by reply email
and destroy all copies of the original message.


-----BEGIN PGP SIGNATURE-----
Version: PGP 7.0.4
Comment: OptiGlobe Communications

iQA/AwUBPOktdSwhsoAekreeEQIQzgCeKQUgkYJhHkVZW0cfJ5kmnXRKBXYAnRqp
ojAmS5EodrcGE/29moLqUoNe
=4sRm
-----END PGP SIGNATURE-----

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://eng.registro.br/pipermail/gter/attachments/20020520/33b63d66/attachment.html>

More information about the gter mailing list