[GTER] Re: [GTER]Anuncio: versao 1.1 de "Praticas de Seguranc a para Administradores de Redes Internet"

Andre-Gustavo Albuquerque gustavoa at nortelnetworks.com
Sun Sep 22 11:43:00 -03 2002


> -----Original Message-----
> From: Alexandre L. Grojsgold [mailto:algold at rnp.br]
...
> Sei que é só um exemplo, mas administradores de sistema  de 
> última hora podem usar o exemplo como modelo para fazer seus 
> filtros com pequenas adaptações. O filtro do exemplo e do tipo 
> deny por default - e nada foi dito sobre o ICMP !!
> 
> 
> Se o firewall não faz também a função de NAT, e as máquinas da rede
> interna tem endereços válidos, então teoricamente elas 
> deveriam estar na
> Internet, o que significa alguma liberdade de tráfego e sobretudo a
> possibilidade de executar determinadas funções end to end (base de
> funcionamento da rede), e que demandam o uso de ICMP.
> 
> 
> Parece-me que um meio termo prudente é o que é recomendado em:
> 
> 
>    http://www.cymru.com/Documents/icmp-messages.html
> 

  Importante a observacao do Alexandre. Por mais 
radical que seja a politica de filtragem, nao se 
deve filtrar ICMP indistintamente. Filtrar ICMP 
de modo irrestrito, pode fazer com que aplicacoes 
nao funcionem na pratica. O exemplo classico
eh a quebra do Path MTU Discovery (RFC1191), 
quando se filtra ICMP type 3, code 4. Jah vi sites, 
como o da receita federal, nao funcionarem, porque 
os administradores de lah filtram, indistintamente, 
todo e qualquer pacote ICMP.

  Modelos de agregacao dial (com L2TP), Cable 
(com PPPoE) ou ADSL (com PPPoE), cuja MTU pode 
ser adaptada para valores menores que 1500 (MTU 
mais comum em servidores Internet), podem fazer 
com que um grande nr de usuarios deixem de ter 
acesso 'a sites com politicas de seguranca tao 
agressivas e, de certo modo, cegas.

  Varias sao as referencias na Internet, mas acho
que o site abaixo ilustra bem a questao:

http://alive.znep.com/~marcs/mtu/

  Gustavo Albuquerque



More information about the gter mailing list