[GTER] A saga: Razões para migrar de PPPoE para DHCP

Rubens Kuhl rubensk at gmail.com
Sat Dec 31 18:29:54 -02 2016


2016-12-31 11:03 GMT-02:00 Marcelo Gondim <gondim at bsdinfo.com.br>:

> Bom dia pessoal,
>
> Outro detalhe. Até agora só vi autenticação usando o mac como login e sem
> senha no DHCP option 82 via radius. Quantidade de gente fazendo clonagem e
> tentando burlar o sistema vai ser muito alta. Não podemos esquecer que
> vivemos no Brasil. O país que é PhD em safadezas. Não estamos na Europa,
> nosso povo não é educado o suficiente e quer sempre tirar vantagem de tudo
> quanto é lado.
>
> Com certeza precisa haver isolamento de cliente. Em hipótese alguma
> qualquer assinante que seja deve chegar em outro assinante pela L2. Tem
> várias coisas que preciso testar antes de uma mudança como essa.
>

A premissa falsa é de que o isolamento L2 só é necessário com DHCP... ele é
necessário sempre. Como você mesmo citou em "PhD em safadezas", sem
isolamento L2 é possível colocar um concentrador PPPoE pirata na rede e se
passar por um assinante que esteja em dia.

O maior problema de falta de isolamento L2 com DHCP nem é o usuário "evil",
mas o usuário sem má intenção que liga o cabo do acesso Internet no
segmento LAN do roteador doméstico dele.

Detalhe que nenhum isolamento L2 é controle de admissão; se sua rede é
baseada em cabos e fibras esse tipo de controle é físico (cadeados etc.),
se sua rede é wireless precisa de WPA2-Enterprise.


> Realmente eu gostaria muito de excluir da minha vida o PPPoE, mas enquanto
> eu não conseguir uma forma com custo x benefício, segurança, mantendo toda
> minha estrutura funcionando com o mínimo desejado, vou continuar mantendo o
> PPPoE.  :)
>
> O assunto é muito interessante e gostaria de ter mais opiniões inclusive
> de quem já está funcionando assim. Se puder informar quais sistemas está
> usando e como foi implementado. Coisas como:
>
> - Autenticação com radius é possível como já vimos mas existe alguma forma
> de autenticação (login + senha + mac), como temos no PPPoE, mas sem mexer
> na ponta do assinante? Acredito que não.
>

Isso existe e se chama 802.1X.
https://en.wikipedia.org/wiki/IEEE_802.1X

Só é necessário algum cuidado com Windows mais recentes por causa do TLS
1.2 no EAP-TLS.


- Dual stack IPv4/IPv6 enviando IPs dinamicamente e como fixos. Está
> funcionando OK?
>

Isso depende do seu sistema de provisionamento e do que você está usando no
papel de BRAS. Eu testei com IPv4 à época.


> - Logs de assinantes como IP, data e hora. Muito importante quando
> recebemos intimações da Justiça para identificar o assinante.
> - O que impediria um assinante de fixar um IP da rede e usá-lo causando
> problemas como IPs duplicados na rede?
>

Controle do comportamento do ARP do BRAS. Por exemplo, no caso de Mikrotik
RouterOS, setar ARP em reply-only (o RouterOS nunca pergunta ARP para o
cliente) e fazer add-arp no DHCP. Assim, não importa o IP que o usuário
configure, só vai funcionar se ele configurar como IP fixo o mesmo IP que
foi atribuído via DHCP.


>
> A ideia de arrancar o PPPoE fora é muito boa mas a coisa tem que ser
> viável. No lab é uma coisa mas na rua, com todo tipo de assinante, o
> universo muda e muito.  :)   vamos por em prática! Ideias?
>
>
Comece do isolamento L2 e do controle de admissão. Sua rede vai melhorar
não importa o protocolo que você estiver usando.


Rubens



More information about the gter mailing list