[GTER] Duvida elementar sobre PPPoE

Rubens Kuhl rubensk at gmail.com
Fri Mar 27 17:46:26 -03 2015


2015-03-27 13:56 GMT-03:00 Rubens Marins Schner <rubens at brisanet.com.br>:

> Um problema que vejo no DHCP é a autenticação do usuário.
>
> No mundo dos provedores wireless, clonar o mac de um CPE é trivial, por
> isso é comum usar mais uma camada de autenticação, neste caso o PPPOE.
>

Na qual também é trivial ficar ouvindo a rede wireless por uma remota já
autorizada e capturar os logins PPPoE (quer seja com PAP, quer seja com
MS-CHAP)...

... para wireless, não tem como considerar algo que não seja ou 802.1x ou
WPA2-Enterprise como autenticação.
 WPA(2)-PSK, WEP e PPPoE estão em níveis muito similares de controle de
risco (leia-se: furados).


> Nós implementamos uma rede GPON, há alguns anos vi que algumas ONUs
> disponiveis no mercado usavam uma versão simplificada do openwrt, e não era
> dificil entrar na CPE via telnet e alterar o MAC/Numero de Serie do
> equipamento, assim eu pensei que dentro de um tempo poderia ter CPE FTTH no
> mercado no mesmo estilo que tem o receptor Azbox para Tv via satelite, ou
> um tutorial em algum site ensinando a comprar o aparelho no mercado livre e
> carregar um script que faça o trabalho de clonar o MAC a cada reboot do
> aparelho.
>
> Então, com receio de montar um sistema de autenticação que fosse baseado
> somente no MAC do equipamento, e depois sofrer com pirataria de sinal,
> achamos melhor usar PPPOE, tendo assim dois métodos de autenticação, por
> MAC e a autenticação por PPPOE, para que se um dos metodos de autenticação
> furar no fututo, não precisar visitar  a casa de todos os clientes.
>

Controle por MAC é autorização, não autenticação; o controle de ingresso na
rede óptica é você ver o que está entrando. No caso de xPON é bem simples
por que as remotas tem que fazer ranging (delimitar a distância até a OLT);
se a distância de um assinante mudou e não houve uma ordem de serviço de
mudança de endereço, tem boi na linha.


Rubens



More information about the gter mailing list