Re: RES: [FUG-BR] OT: implementar +segurança a redes wire less

Celso Viana celso.vianna em gmail.com
Seg Maio 2 21:01:43 BRT 2005 

...isso não deixaria a conexão com uma lentidão muito grande?

Celso

Em 02/05/05, Antonio Torres<antonio.torres em newspace.net.br> escreveu:
> (Desculpem o "romance", mas é pertinente)
> 
> Explicando melhor:
> 
> Em redes wireless, segundo o "standard" IEEE 802.11, o "access point"
> não necessariamente precisa "se preocupar com layer 2"; isso permite
> algumas situacoes, no mínimo, esdrúxulas:
> 
> O Access Point não tem como saber, realmente, onde está (ou quem é) cada
> ponto remoto (por definicao: é uma WAN!)
> 
> Vamos supor o caso:
> 
>   Remoto A: IP X, MAC Y
>   Remoto B: IP X, MAC Y (!!! clone!!!)
> 
> Trafego:
> 
> Remoto A envia pacote para Servidor Z (na China, por exemplo), via
> Access point
> 
> Servidor da China devolve pacote para o Access Point
> Access Point transmite (via wireless) para o IP X, MAC Y
> 
>  Remoto A (que enviou o pacote) recebe a resposta e processa...
>  Remoto B (clone) recebe o pacote e... descarta!, pois nao sabe do que
> se trata !!
> (Notem que Remoto A esta funcionado perfeitamente)
> 
> Se a situacao for inversa (Remoto B envia pacote...) tudo continua
> funcionando perfeitamente !!
> 
> Só não vai haver comunicacao entre Remoto A e Remoto B
> 
> ----------
> 
> No caso do assunto principal (Seguranca em redes Wireless) a alternativa
> mais simples é a utilizacao de VPNs criptografadas.
> 
> No caso de um "provedor internet", todos os cliente usariam IPs
> "internos" (RFC1918) e, via VPN, conseguiriam o IP "real" (que
> permitiria acesso à Internet")
> 
> Nessa situacao ficaria inviavel "clonar" um cliente e ambos funcionarem
> simultaneamente.
> 
> No caso de se usar o /usr/ports/security/openvpn, cada cliente teria um
> IP (RFC1918), uma chave de criptografia e uma *porta especifica* para
> conectar a VPN (onde obteria o IP "real" !!!)
> 
> Se o "clone" conectar, o usuário oficial não conecta (a porta da VPN
> estará em uso!)
> 
> Sim, eu sei que isso gera um bocado, mas um bocado mesmo, de servico a
> nivel de gerenciamento de rede, mas, infelizmente, se o wireless (IEEE
> 802.11x) não oferece a "individualizacao" dos remotos, é preciso
> "reinventar a roda" e fazer isso a nivel de aplicacao.
> 
> []s
> Antonio Torres
> antonio.torres em newspace.net.br
> 
> Frederick F. wrote:
> 
> >Bom, se for uma máquina Windows ela joga na tela a mensagem e desabilita as
> >funções de rede até o outro arp desaparecer.
> >
> >Se for algum sabor de unix like, ambas ficarão funcionando até que alguém
> >desista :)
> >
> >Mas funcionar perfeitamente, só se ambas possuírem o mesmo mac, que vai dar
> >uma confusão na rede mas nenhuma vai falar que outra está usando o IP, pois
> >a outra é o mesmo MAC :)
> >
> >Medonho...
> >
> >
> 
> _______________________________________________
> Freebsd mailing list
> Freebsd em fug.com.br
> http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
>

_______________________________________________
Freebsd mailing list
Freebsd em fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Mais detalhes sobre a lista de discussão freebsd