[GTER] Falha de segurança no serviço Vírtua Empresarial
Edgar Shine
edgar at ig.com.br
Fri Aug 5 10:33:37 -03 2005
André Carezia escreveu:
>>Se não há alguma agregação e o controle é exclusivamente feito no modem,
>>o único modo de auditar a velocidade seria indo em cada cable modem e
>>coletando estatísticamente os dados. Depois fazer calculos e injetar em
>>uma base de dados.
>>
>>
>Essa questão do controle de banda é outra falha de segurança, mas
>provavelmente está relacionada à falha que relatei.
>
>
Em termos... vc pode configurar filtros no CM para evitar propagacao
indesejada de pacotes.
>Já que você mencionou o DOCSIS[1], penso em uma solução simples:
>
> * Mesmo no DOCSIS 1.0, há autenticação: cada Cable Modem tem um número
> de série e um número de MAC; basta usá-los.
>
>
Eu sei... isso ja ajuda.
> * Em uma tabela, atrela-se o número de MAC ao endereço IP fixo.
>
>
Eu tbm sei disso... o Jonny e o Durval mais ainda, ja q eles
desenvolveram um sistema assim.
> [1] http://www.cisco.com/warp/public/109/docsis_bpi.pdf
>
>Não precisa de ARP, e o único jeito de contornar a autenticação é
>falsificar o número de série. Isso não é tão fácil quanto falsificar o
>endereço IP.
>
>
Como meu amigo Gustavo disse uma vez, tudo q depende do lado do cliente
pode ser lubridiado.
Se vc tem a liberdade de fazer update do arquivo de configuracao, como
eh no caso de DOCSIS 1.0, nao ha meio 100% seguro de evitar clonagens e
bypass. nao estudei muito a fundo o 2.0 para entender 100% do mecanismo
de autenticacao, mas pelo pouco q sei tem algumas funcionalidades mais
robustas nesse sentido.
Hmmm... tbm nao estou escrito no GTS, mas acho q esse topico seria mais
adequado la. Vou me inscrever...
sd,
Edgar
More information about the gter
mailing list