RES: [FUG-BR] OT: implementar +segurança a redes wire less
Antonio Torres
antonio.torres em newspace.net.br
Seg Maio 2 20:49:02 BRT 2005
(Desculpem o "romance", mas é pertinente)
Explicando melhor:
Em redes wireless, segundo o "standard" IEEE 802.11, o "access point"
não necessariamente precisa "se preocupar com layer 2"; isso permite
algumas situacoes, no mínimo, esdrúxulas:
O Access Point não tem como saber, realmente, onde está (ou quem é) cada
ponto remoto (por definicao: é uma WAN!)
Vamos supor o caso:
Remoto A: IP X, MAC Y
Remoto B: IP X, MAC Y (!!! clone!!!)
Trafego:
Remoto A envia pacote para Servidor Z (na China, por exemplo), via
Access point
Servidor da China devolve pacote para o Access Point
Access Point transmite (via wireless) para o IP X, MAC Y
Remoto A (que enviou o pacote) recebe a resposta e processa...
Remoto B (clone) recebe o pacote e... descarta!, pois nao sabe do que
se trata !!
(Notem que Remoto A esta funcionado perfeitamente)
Se a situacao for inversa (Remoto B envia pacote...) tudo continua
funcionando perfeitamente !!
Só não vai haver comunicacao entre Remoto A e Remoto B
----------
No caso do assunto principal (Seguranca em redes Wireless) a alternativa
mais simples é a utilizacao de VPNs criptografadas.
No caso de um "provedor internet", todos os cliente usariam IPs
"internos" (RFC1918) e, via VPN, conseguiriam o IP "real" (que
permitiria acesso à Internet")
Nessa situacao ficaria inviavel "clonar" um cliente e ambos funcionarem
simultaneamente.
No caso de se usar o /usr/ports/security/openvpn, cada cliente teria um
IP (RFC1918), uma chave de criptografia e uma *porta especifica* para
conectar a VPN (onde obteria o IP "real" !!!)
Se o "clone" conectar, o usuário oficial não conecta (a porta da VPN
estará em uso!)
Sim, eu sei que isso gera um bocado, mas um bocado mesmo, de servico a
nivel de gerenciamento de rede, mas, infelizmente, se o wireless (IEEE
802.11x) não oferece a "individualizacao" dos remotos, é preciso
"reinventar a roda" e fazer isso a nivel de aplicacao.
[]s
Antonio Torres
antonio.torres em newspace.net.br
Frederick F. wrote:
>Bom, se for uma máquina Windows ela joga na tela a mensagem e desabilita as
>funções de rede até o outro arp desaparecer.
>
>Se for algum sabor de unix like, ambas ficarão funcionando até que alguém
>desista :)
>
>Mas funcionar perfeitamente, só se ambas possuírem o mesmo mac, que vai dar
>uma confusão na rede mas nenhuma vai falar que outra está usando o IP, pois
>a outra é o mesmo MAC :)
>
>Medonho...
>
>
_______________________________________________
Freebsd mailing list
Freebsd em fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Mais detalhes sobre a lista de discussão freebsd