<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.0.5762.3">
<TITLE>RE: [GTER] Speedy business - novela de roteamento</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT SIZE=2><BR>
-----BEGIN PGP SIGNED MESSAGE-----<BR>
Hash: SHA1<BR>
<BR>
Oi Rodrigo,<BR>
<BR>
    A sua solução é mais ou menos o que pessoal esta adotando como padrão para<BR>
usuários domesticos. O problema é quando temos um produto como o Speedy<BR>
Business. Nestes casos, não se pode esperar que algum usuário se autentique.<BR>
Imagine que um servidor de um cliente com IP fixo caia num fim de semana. O<BR>
administrador teria que ir até a empresa para subir o servidor ou esperar até a<BR>
segunda-feira?<BR>
<BR>
[]s,<BR>
<BR>
- --<BR>
Renato Mitsuo Wada<BR>
Network Security Analyst<BR>
OptiGlobe Communications<BR>
<A HREF="http://www.optiglobe.com.br">http://www.optiglobe.com.br</A> <<A HREF="http://www.optiglobe.com.br/">http://www.optiglobe.com.br/</A>> <BR>
<BR>
- -----Original Message-----<BR>
From: Loureiro, Rodrigo [<A HREF="mailto:RLoureiro@unispherenetworks.com">mailto:RLoureiro@unispherenetworks.com</A>]<BR>
Sent: Monday, May 20, 2002 12:27 PM<BR>
To: 'gter@eng.registro.br'<BR>
Subject: RE: [GTER] Speedy business - novela de roteamento<BR>
<BR>
<BR>
Uma forma de contornar essa vulnerabilidade seria dividindo o leasing em duas<BR>
partes: token and permanent address. No primeiro caso, o servidor DHCP built-in<BR>
no Edge Router/BRAS atribui um endereço transiente, o qual possui um escopo de<BR>
roteamento limitado no domínio do backbone/provedor, limitando esse escopo, por<BR>
exemplo, a um portal. Para obter um endereço roteável, o usuário precisa ir ao<BR>
portal de autenticação. Uma vez autenticado, o Edge Router é informado dessa<BR>
mudança de estado e, utilizando username/senha/domínio entrados no portal, gera<BR>
um access request radius no lugar do usuário final para o servidor radius do<BR>
backbone. Durante o processo de autorização, pode ser retornado um atributo de<BR>
pool IP, que será referenciado pelo Edge Router para designação do endereço<BR>
permanente ao usuário final.<BR>
<BR>
<BR>
Abraços,<BR>
<BR>
- --<BR>
Rodrigo Loureiro<BR>
<BR>
- -----Original Message-----<BR>
From: Joao Carlos Mendes Luis [<A HREF="mailto:jonny@jonny.eng.br">mailto:jonny@jonny.eng.br</A>]<BR>
Sent: Monday, May 20, 2002 7:55 AM<BR>
To: gter@eng.registro.br<BR>
Subject: Re: [GTER] Speedy business - novela de roteamento<BR>
<BR>
<BR>
Oi Rubens,<BR>
<BR>
Rubens Kuhl Jr. wrote:<BR>
<BR>
<BR>
Vc pode autenticar o DHCP em função de parâmetros fora do controle do<BR>
usuário como VC ATM, DSLAM Port etc.<BR>
<BR>
Quando o meio é não compartilhado, e voce tem essa informação, tudo bem.  Mas e<BR>
em meios compartilhados, como Cable?<BR>
<BR>
<BR>
<BR>
Agora, se alguém tem poder administrativo sobre sua rede, DHCP-forging é<BR>
o menor dos seus problemas...<BR>
<BR>
<BR>
????<BR>
<BR>
Eu estava preocupado com DHCP autenticado por MAC, que é algo facilimo de mudar<BR>
no desktop.  Isso nao tem nada a ver com poder administrativo.<BR>
<BR>
<BR>
<BR>
<BR>
<BR>
<BR>
Rubens<BR>
<BR>
<BR>
<BR>
- -----Original Message-----<BR>
From:  gter-admin@eng.registro.br [ <A HREF="mailto:gter-admin@eng.registro.br">mailto:gter-admin@eng.registro.br</A>] On<BR>
Behalf Of Joao Carlos Mendes Luis<BR>
Sent: Saturday, May 18, 2002 10:06 PM<BR>
To:  gter@eng.registro.br<BR>
Subject: Re: [GTER] Speedy business - novela de roteamento<BR>
<BR>
<BR>
Carlos Ribeiro wrote:<BR>
<BR>
On Fri 17 May 2002 20:32, you wrote:<BR>
<BR>
Existe uma opção que é o DHCP autenticado por NAS-Port/VC(ADSL) ou<BR>
MAC(Cable).<BR>
<BR>
Aaargh! DHCP não! e agora, ainda tem o CLIIPS (algo do tipo 'client<BR>
less IP alguma coisa', um DHCP melhorado)... tá certo que tem algumas<BR>
aplicações onde isso pode até fazer sentido (tipo cable modem), mas eu<BR>
<BR>
sinceramente não consigo confiar em uma solução baseada em DHCP... (eu<BR>
<BR>
admito o preconceito :-)<BR>
<BR>
<BR>
    DHCP é OTIMO para evitar ter que passar os dados pro usuário.  Eu<BR>
sugiro uso de DHCP até mesmo para quem tem IP Fixo.  Mas autenticar por<BR>
DHCP ou MAC não pode ser sujeito a furos de seguranca?<BR>
<BR>
                                        Jonny<BR>
<BR>
<BR>
<BR>
<BR>
=======================================<BR>
<BR>
This email message is for the sole use of the intended recipient (s) and may<BR>
contain confidential and privileged information, including without limitation,<BR>
Confidential and/or Proprietary Information belonging to Unisphere Networks,<BR>
Inc. Any unauthorized review, use, disclosure or distribution is prohibited. If<BR>
you are not the intended recipient, please contact the sender by reply email<BR>
and destroy all copies of the original message.<BR>
<BR>
<BR>
-----BEGIN PGP SIGNATURE-----<BR>
Version: PGP 7.0.4<BR>
Comment: OptiGlobe Communications<BR>
<BR>
iQA/AwUBPOktdSwhsoAekreeEQIQzgCeKQUgkYJhHkVZW0cfJ5kmnXRKBXYAnRqp<BR>
ojAmS5EodrcGE/29moLqUoNe<BR>
=4sRm<BR>
-----END PGP SIGNATURE-----<BR>
</FONT>
</P>

</BODY>
</HTML>