[GTER] Re: Speedy business - novela de roteamento

Tue May 21 09:08:00 -03 2002

> 
> Rodrigo, em sua resposta ao Edgar...
> 
> On Mon 20 May 2002 19:55, you wrote:
> > Estou longe de ser um defensor do shared ethernet.
> 
> Não ficou claro para mim de onde surgiu o 'shared Ethernet' na discussão. 
> Fiquei na dúvida se você está chamando de 'shared ethernet' os outros tipos 
> de acesso que (grosso modo) "emulam" uma rede Ethernet (DOCSIS, ou ADSL com 
> RFC1483).
> 
> É isso mesmo que vc quis dizer???
> 
> 
> Carlos Ribeiro
> CTBC Telecom

shared ethernet é o começo de toda a discussão e é o beco aparentemente 
sem saída em que a telefônica nos meteu. cada grupo de sessenta e poucos
assinantes do serviço speedy-business são agrupados em um shared ethernet
com endereços /26. para evitar a promiscuidade do shared etehrenet e seus
problemas de segurança, eles decidiram para o bem de todos e felicidade
geral da nação, que o shared não seria tão shared assim e os vizinhos 
simplesmente não se veriam mutuamente.

é evidente que esta solução é insatisfatória (eu ia dizer estúpida). o
problema que coloquei não tem nada a ver com autenticação, autorização ou
qualquer outro controle de uso de recursos. tem a ver com como usar uma 
rede promíscua como ethernet de modo seguro, isto é que um vizinho não
bedelhe onde não é chamado mas ainda assim exista conectividade entre os
vizinhos.

o mote que eu dei causou uma discussão acalorada em torno dos três A's,
o que mostra que esse era um assunto que estava comprimido como uma mola,
pedindo que alguém a soltasse. proponho criar duas linhas a partir daqui,
uma para AAA em acessos em geral e outra sobre segurança em meios
compartilhados. É claro que a linha de AAA focará também acessos compar-
tilhados porque para PPP comum sobre linha discada radius/tacacs resolve,
e existe início, meio e fim da sessão. a porca torce o rabo quando o 
conceito de sessão está ausente e fica a questão no ar de como se encerra
uma pseudo-sessão.

na linha de segurança em acesso compartilhado, não sei quanto um modem de
adsl é configurável, mas se ele suportasse uma ACL à la Cisco, todos os
pacotes potencialmente hostis poderiam ser mortos na origem e não seria
necessária a gambiarra da telefônica no caso do speedy. já se aquela cai-
xinha for uma bridge absolutamente estúpida, a coisa enrosca. não deve ser
tão estúpida, porque é gerenciável por SNMP. eu já 'snmpwalk' a minha para
ver se havia alguma pista de como descascar o abacaxi cultivado pela tele-
fônica. curioso, eles se preocupam tanto com a segurança a ponto de quebrar
a conectividade em seu nome e deixam snmp aberto, comunidade = public, sem
senha. vai entender... bem, pelo menos snmpset não funciona ;-)

tenho recebido alguns e-mails da telefônica. o mais longe que eles chegaram
para "resolver" o problema foi sugerir que fosse trocado o meu endereço 
IP, de modo que eu passaria a ver quem eu quero ver agora. argumentei que
essa "solução" é inaceitável, porque aí outros sessenta-e-tantos endereços
passariam a ser inalcançáveis. ou seja, estariam apenas mudando a sujeira
de lugar, sem limpar efetivamente nada. até agora não recebi nenhuma res-
posta mais inteligente que esta. não sei porque, mas não estou surpreso.

Danton.