Bom, primeiro quero deixar claro que em momento algum mesenti ofendido sobre seu post "polido", até porque minha formação é em telecomunicações e especialista em radio frequencia, então entendo mais sobre meios de transmissão do que realmente sobre protocolos e roteamentos, e é um prazer aprender com qualquer pessoa.
2 - desculpas a todos pela abertura deste tópico, mas o anterior foi fechado antes que eu tivesse chance de lê-lo.
3- Possiveis erros de digtação é porque estou com a mao direita engessada.
4a - Porque PPPOE é mais seguro? Na minha opinião o tunelamento criptografado sozinho já gera um desinteresse bem maior em um possivel atacante do que um simples Hotspot. Impenetravel nada é, mas é mais dificil ter um intruso com uma rede 100% PPPOE. Além disso, utilizando o campo "service name", é possivel dificuldar até o homem do meio.
4b - Muda-se o MTU para alterar o tamanho dos pacotes, e pacotes menores exigem menor qualidade no link. Tudo bem que o ideal é ter todos os clientes com sinal excelente, mas nem sempre isso é possivel, e paliativamente até solução definitiva uma simples auteração de MTU consegue manter o cliente navegando até a abertura de nova célula ou troca do equipamento cliente para algum de maior ganho.
4c - no repasse de Ips validos, aqui utilizo nat 1x1(net map) onde já deixo cada pool de entrada e saída configurados no PPPOE assim os ips distribuidos aleatóriamente já tem prontos seus respectivos ips publicos. Não disse que era impossivel fazer o mesmo no hotspot, mas digo que é mais facil separar os pools em servidores PPPOE distintos enquanto que o Hotspot só é suportado 01 para cada interface, obrigando fixar o IP manualmente para o cliente (ou estou errado?)
4d - sobre o broadcast, posso estar muito enganado (e me corrija se estiver), mas creio que em PPPOE uma vez fechada a conexão entre o servidor e cliente, isto é, após o PADS, a transmissão se de unicamente entre os dois pontos, portanto reduziria imensamente o problema. Inclusive já notei isso monitorando trafego com programas especificos, e antigamente quando eu utilizava Hotspot primordialmente, o trafego de broadcast era imensamente maior e foi diminuindo na mesma razão em que eu migrava os clientes para PPPOE.
Aqui ainda há outro fator importante que é o fato nada raro de muitos clientes em bridge/hotspot simplesmente mandarem um roteador em casa e pendurarem varias maquinas após autenticados... Todas estas maquinas neste caso tem o broadcast dentro da rede do ISP, enquanto que em PPPOE com roteador em "client ISP", a rede do provedor termina no CPE e a rede interna do cliente não é difundida para a publica.
Obrigado pela atenção.
Abraço, T+!
Respostas
Vamos lá,
PPPOE não é mais seguro que HOTSPOT. Isso é mito, eu uso PPPOE porque é minha preferência nada além disso.
O envio do usuário e senha para conexão do PPPOE não é criptogravado, mesmo utilizando CHAP e MSCHAP, não interessa vai sempre em texto plano, segurança zero.
Service name de nada serve, até o RASPPPOE consegue enxergar todas as portadoras PPPOE e seus respectivos service names, onde existe segurança nisso!!!
Homem do meio com PPPOE ou HOTSPOT tanto faz em 90% das redes que já prestei algum serviço era possível com um esforço mínimo capturar todos os logins, senhas, macs e posteriormente dados de transações dos clientes em um único dia, sem nenhum esforço extra e sem usar sniffers. Se você que esta lendo não sabe fazer isso é porque sua rede faz parte dos 90% infelizmente.
MTU menor, fragmentação maior, isso aumenta o processamento de pacotes da rede e consequentemente reduz a capacidade dos equipamentos, mais pacotes, mais processamento e consequentemente menos tráfego útil pois o controle fica maior em relação ao pacote do que com MTU da interface. O problema que vejo é que quase ninguém sabe configurar um radio cliente direito, dae começam fazer esse tipo de 'ajuste' pra corrigir oque poderia ter sido evitado.
Repasse de IPs: primeiro que não tem nada a ver com o tipo de autenticação, segundo o método que você esta utilizando é por si só uma solução criativa mas não deixa de ser uma gambiarra, nada impede da autenticação entregar um ip público ou privado ao cliente e neste IP privado o cliente receber uma range inteira de IPs públicos (não é assim que vc recebe os ips da sua operadora ???), muito mais fácil que criar netmap ou src/dst nats e não requer gerenciamento. Estava errado na sua afirmação, e só estou querendo ajudar.
Sobre o broadcast, esta enganado novamente, pode ter havido sim uma diminuição do seu broadcast na mudança de autenticação, mas de fato tem mais a ver com o roteamento em si do que com a mudança de autenticação, eu poderia por exemplo ter uma rede toda roteada e o hotspot autenticando na borda diretamente na rb e nenhum broadcast na rede de distribuição, viu como é simples. Limite o seu dominio de broadcast a rede de distribuição, nunca inclua nele equipamentos fora do seu controle e principalmente, mantenha clientes longe dele, valem as recomendações que já fiz no outro post também é claro.
Bridge é bridge, e a função dela é justamente de colocar todos dentro do mesmo dominio de broadcast, não serei redundante apenas use o roteamento a seu favor, o mesmo ocorre para pppoe e hotspot.
Abraço Riberto, espero que confirme o que escrevi acima.
M4d3, ainda estou estudando sobre a maioria de suas afirmações e mais tarde volto a debate-las.
Sobre o Roteamento, o ideal nem sempre é o possivel, e darei aqui um exemplo claro que é um erro cometido pela maioria e que torna sua rede por melhor que seja, totalmente ilegal.
Para a ANATEL, todos os POPs devem ser registrados, pagar TFI na implantação e TFF anualmente. OK, disso acho que todos sabemos, mas o que a maioria das pequenas empresas ignoram, é a definição da ANATEL para o que vem a ser um POP, então lá vai: "Estações do SCM
Tipos básicos de estações de telecomunicações que devem ser
cadastradas e licenciadas no SCM:
I. Estações de telecomunicações que desempenhem as funções de roteamento ou
comutação por circuito, pacotes ou células (Frame Relay, ATM, IP, DQDB,
X25, etc.), mesmo que operem sem equipamentos de radiocomunicação ou
com Equipamentos de Radiocomunicação de Radiação Restrita Certificados e
dispensados de licenciamento.
II. Estações de telecomunicações que executem funções de multiplexação de
Estações do SCM
Tipos básicos de estações de telecomunicações que devem ser
cadastradas e licenciadas no SCM:
Fiscalização do Serviço de Comunicação Multimídia
informações provenientes de diferentes acessos de clientes, como por exemplo
estações com equipamentos de radiocomunicação ponto-multiponto utilizados
para concentrar acessos de diversos clientes, estações com multiplexadores
determinísticos ou estações com equipamentos de terminação óptica, mesmo
que estas não possuam equipamentos de radiocomunicação ou que possuam
Equipamentos de Radiocomunicação de Radiação Restrita Certificados e
dispensados de licenciamento. "
Material retirado na propria ANATEL através de resposta email e constante na resolução 272.
Trocando em miúdos, praticamente tudo que não for bridge ou CPE é considerado "POP" pela ANATEL, então todos que utilizam autenticação nas proprias torres ou RBs achando que são repetidoras, estam na verdade operando irregularmente e sujeitos a PADO, multa e até perda da concessão. O máximo que poderia ser feito em segmentação para isolamento e diminuição de dominios de broadcast na minha opinião seria a utilização de Vlans até o POP, ou o cadstro e pagamento das devidas taxas de licenciamento para a ANATEL.
Não adianta indicar a autenticação "na torre" como melhor forma de roteamento para quem não pode ou não quer pagar mais taxas.
No mais, continuo estudando o restante dos temas, mas já adianto que na questão do broadcast, tudo que encontrei até agora apontam para a diminuição do broadcast (até mesmo pela sub rede 255.255.255.255) após estabelecido o tunelamento. Em breve retorno para terminar o debate.
Abraço.
Riberto
Apenas desviando um pouquinho..hehe
Você citou bem o ponto que eu andei estudando e apliquei aqui, muitos utilizam "rotear" cada local de retransmissão...isso ai realmente pelo que eu tinha entendido é sujeito a multa...e nem por isso se tornam seguros...só por que estão autenticando isso torna-se um POP e sujeito a TFI e TFF...eles apenas entendem que seja uma repetidora se estiver em bridge...
Isso é uma boa para quem faz as coisas e não tem costume de ler.
acompanhando..
agora o debate está melhorando e vamos aprendendo.
surgiu uma duvida com relação a legislação no ponto sobre a autenticação nas torres.
como rotear a rede e a autenticação em um ponto central?
tmais
Uso pppoe e não troco por hotspot de maneira nehuma, mesmo nunca tendo testado hotspot,pois pppoe tem a comodidade de o cliente não saber usuarioe senha e discar pelo radio, porém se tivesse no mk auth a opção de ip fixo, eu migraria tudo, pois nunca tive problemas qndo usava, ja no pppoe, me incomodo muito com os clientes que costumam deixar tudo na tomada, pois da muita queda de luz, e qndo isso acontece,só volta a reconectar qndo o cliente desliga e liga de novo, e alguns tem q desligar a geral da casa, essa é a parte ruim do pppoe no mk auth, no mais, só tenho a falar bem.
Falando em segurança realmente não existe em Hotspot e PPPoe, até as TV por assinaturas os caras já clona não diga internet agora, porem o Hotspot é mais fácil de realizar o Sniffer não que no pppoe também não seja possível
Olhando no youtube e vão ver vários vídeos simples sobre Hotspot
Olha a imagen que postem abaixo pegando usuario e senha ho Hotspot facil facil
Pega-Senha.jpg
Minha rede é hotspot, isso não acontece se tiver bem configurado, isso aí é má configuração, na minha rede isso aí não funciona como a maioria dos vídeos estúpidos encontrados no youtube que ensinam a quebrar segurança de rede que não tem segurança nenhuma.
Hotspot ou pppoe, qualquer um, depende do profissional por traz da rede!
REINAM, apresente termos técnicos para sustentar sua opinião, no caso de usuário e senha por hypertexto por exemplo, além de critografia wpa individual você pode usar certificado, isso que você mostrou aí não deve ter nenhum dos dois, então o problema não é o método de autenticação e sim má configuração.
Descobrir usuário e senha, em uma rede sem critografia ou com criptografia fraca, é muito fácil, com a técnica de homem do meio, seja em hotspot ou em pppoe.
REINAM OLIVEIRA BRITO disse:
se sua rede não acontece isso eu não posso dizer, pois não estou ai para testala.
questão de certificado no Hotspot questão de tempo não que seja impossivel.
não que o pppoe não seja possivel sniffar, mais é um pouco mais dificil
Riberto, gostei das ideas pois agora to com uma duvida cruel.... minha torre central, tem meu link meu server, tfi e tff pago ok.... ai dessa torre faço um ponto a ponto para atender um bairro muito distante com nano bridge m5, e la atendo os clientes com 3 paineis. onde tenho um switch interligado esses 4 aparelhos. e faço todo o controle da minha torre central. sem a necessidade de usar uma rb nessa outro ponto. dessa forma nao é uma repetidora ou tenho que fazer alguma outra coisa para que seja.... Obs. faço dessa forma porque a empresa que eu tenho SVA explicou dessa forma sendo onde eu poderia quer somente um server e controlar todos os meus pontos desse atreves desse server sem a necessidade de colocar uma Rb ou que seja nas repeditoras.
No conceito da ANATEL se você faz autenticação, alguma forma de "roteamento" ou interligação da sua rede com outra operadora na torre então ela é um"POP", se estiver tudo em bridge (seu PTP e também o equipamento ligado a seus painéis), então é uma repetidra.
Duh ( Josevaldo ) disse:
-
1
-
2
de 2 Próximo