RES: [FUG-BR] OT: implementar +segurança a redes wire less

Antonio Torres antonio.torres em newspace.net.br
Seg Maio 2 20:49:02 BRT 2005 

(Desculpem o "romance", mas é pertinente)

Explicando melhor:

Em redes wireless, segundo o "standard" IEEE 802.11, o "access point" 
não necessariamente precisa "se preocupar com layer 2"; isso permite 
algumas situacoes, no mínimo, esdrúxulas:

O Access Point não tem como saber, realmente, onde está (ou quem é) cada 
ponto remoto (por definicao: é uma WAN!)

Vamos supor o caso:

   Remoto A: IP X, MAC Y
   Remoto B: IP X, MAC Y (!!! clone!!!)

Trafego:

 Remoto A envia pacote para Servidor Z (na China, por exemplo), via 
Access point

 Servidor da China devolve pacote para o Access Point
 Access Point transmite (via wireless) para o IP X, MAC Y

  Remoto A (que enviou o pacote) recebe a resposta e processa...
  Remoto B (clone) recebe o pacote e... descarta!, pois nao sabe do que 
se trata !!
(Notem que Remoto A esta funcionado perfeitamente)

Se a situacao for inversa (Remoto B envia pacote...) tudo continua 
funcionando perfeitamente !!

Só não vai haver comunicacao entre Remoto A e Remoto B

----------

No caso do assunto principal (Seguranca em redes Wireless) a alternativa 
mais simples é a utilizacao de VPNs criptografadas.

No caso de um "provedor internet", todos os cliente usariam IPs 
"internos" (RFC1918) e, via VPN, conseguiriam o IP "real" (que 
permitiria acesso à Internet")

Nessa situacao ficaria inviavel "clonar" um cliente e ambos funcionarem 
simultaneamente.

No caso de se usar o /usr/ports/security/openvpn, cada cliente teria um 
IP (RFC1918), uma chave de criptografia e uma *porta especifica* para 
conectar a VPN (onde obteria o IP "real" !!!)

Se o "clone" conectar, o usuário oficial não conecta (a porta da VPN 
estará em uso!)

Sim, eu sei que isso gera um bocado, mas um bocado mesmo, de servico a 
nivel de gerenciamento de rede, mas, infelizmente, se o wireless (IEEE 
802.11x) não oferece a "individualizacao" dos remotos, é preciso 
"reinventar a roda" e fazer isso a nivel de aplicacao.

[]s
Antonio Torres
antonio.torres em newspace.net.br

Frederick F. wrote:

>Bom, se for uma máquina Windows ela joga na tela a mensagem e desabilita as
>funções de rede até o outro arp desaparecer.
>
>Se for algum sabor de unix like, ambas ficarão funcionando até que alguém
>desista :)
>
>Mas funcionar perfeitamente, só se ambas possuírem o mesmo mac, que vai dar
>uma confusão na rede mas nenhuma vai falar que outra está usando o IP, pois
>a outra é o mesmo MAC :)
>
>Medonho...
>  
>


_______________________________________________
Freebsd mailing list
Freebsd em fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Mais detalhes sobre a lista de discussão freebsd