[GTER] Speedy business - novela de roteamento

Joao Carlos Mendes Luis jonny at jonny.eng.br
Mon May 20 22:16:00 -03 2002


    Assim nao resolveu nada...  No final das contas, nao ha
autorizacao/autenticacao no DHCP.

    Pessoalmente, acho esta historia de "portal de autenticacao" uma
palhacada.  Reduziram a internet a uma interface Web.

> "Loureiro, Rodrigo" wrote:
> 
> Uma forma de contornar essa vulnerabilidade seria dividindo o leasing
> em duas partes: token and permanent address. No primeiro caso, o
> servidor DHCP built-in no Edge Router/BRAS atribui um endereço
> transiente, o qual possui um escopo de roteamento limitado no domínio
> do backbone/provedor, limitando esse escopo, por exemplo, a um portal.
> Para obter um endereço roteável, o usuário precisa ir ao portal de
> autenticação. Uma vez autenticado, o Edge Router é informado dessa
> mudança de estado e, utilizando username/senha/domínio entrados no
> portal, gera um access request radius no lugar do usuário final para o
> servidor radius do backbone. Durante o processo de autorização, pode
> ser retornado um atributo de pool IP, que será referenciado pelo Edge
> Router para designação do endereço permanente ao usuário final.
> 
> 
> Abraços,
> 
> --
> Rodrigo Loureiro
> 
>      -----Original Message-----
>      From: Joao Carlos Mendes Luis [mailto:jonny at jonny.eng.br]
>      Sent: Monday, May 20, 2002 7:55 AM
>      To: gter at eng.registro.br
>      Subject: Re: [GTER] Speedy business - novela de roteamento
> 
>      Oi Rubens,
> 
>      Rubens Kuhl Jr. wrote:
> 
>     >  Vc pode autenticar o DHCP em função de parâmetros fora do
>     >  controle do
>     >  usuário como VC ATM, DSLAM Port etc.
>     >
>      Quando o meio é não compartilhado, e voce tem essa
>      informação, tudo bem.  Mas e em meios compartilhados, como
>      Cable?
> 
>     >  Agora, se alguém tem poder administrativo sobre sua rede,
>     >  DHCP-forging é
>     >  o menor dos seus problemas...
>     >
> 
>      ????
> 
>      Eu estava preocupado com DHCP autenticado por MAC, que é
>      algo facilimo de mudar no desktop.  Isso nao tem nada a ver
>      com poder administrativo.
> 
>     >  Rubens
>     >  -----Original Message-----
>     >  From: gter-admin at eng.registro.br [
>     >  mailto:gter-admin at eng.registro.br] On
>     >  Behalf Of Joao Carlos Mendes Luis
>     >  Sent: Saturday, May 18, 2002 10:06 PM
>     >  To: gter at eng.registro.br
>     >  Subject: Re: [GTER] Speedy business - novela de roteamento
>     >  Carlos Ribeiro wrote:
>     >
>     > > On Fri 17 May 2002 20:32, you wrote:
>     > >
>     > > > Existe uma opção que é o DHCP autenticado por
>     > > > NAS-Port/VC(ADSL) ou
>     > > > MAC(Cable).
>     > > >
>     > > Aaargh! DHCP não! e agora, ainda tem o CLIIPS (algo do
>     > > tipo 'client
>     > > less IP alguma coisa', um DHCP melhorado)... tá certo
>     > > que tem algumas
>     > > aplicações onde isso pode até fazer sentido (tipo cable
>     > > modem), mas eu
>     > >
>     > > sinceramente não consigo confiar em uma solução baseada
>     > > em DHCP... (eu
>     > >
>     > > admito o preconceito :-)
>     > >
>     >      DHCP é OTIMO para evitar ter que passar os dados pro
>     >  usuário.  Eu
>     >  sugiro uso de DHCP até mesmo para quem tem IP Fixo.  Mas
>     >  autenticar por
>     >  DHCP ou MAC não pode ser sujeito a furos de seguranca?
>     >                                          Jonny
>     >
> 
> =======================================
> 
> This email message is for the sole use of the intended recipient (s)
> and may contain confidential and privileged information, including
> without limitation, Confidential and/or Proprietary Information
> belonging to Unisphere Networks, Inc. Any unauthorized review, use,
> disclosure or distribution is prohibited. If you are not the intended
> recipient, please contact the sender by reply email and destroy all
> copies of the original message.

-- 

                                        Jonny

-- 
João Carlos Mendes Luís - Networking Engineer - jonny at jonny.eng.br



More information about the gter mailing list