[GTER] Re: [GTER]Anuncio: versao 1.1 de "Praticas de Seguranc a para Administradores de Redes Internet"
Andre-Gustavo Albuquerque
gustavoa at nortelnetworks.com
Sun Sep 22 11:43:00 -03 2002
> -----Original Message-----
> From: Alexandre L. Grojsgold [mailto:algold at rnp.br]
...
> Sei que é só um exemplo, mas administradores de sistema de
> última hora podem usar o exemplo como modelo para fazer seus
> filtros com pequenas adaptações. O filtro do exemplo e do tipo
> deny por default - e nada foi dito sobre o ICMP !!
>
>
> Se o firewall não faz também a função de NAT, e as máquinas da rede
> interna tem endereços válidos, então teoricamente elas
> deveriam estar na
> Internet, o que significa alguma liberdade de tráfego e sobretudo a
> possibilidade de executar determinadas funções end to end (base de
> funcionamento da rede), e que demandam o uso de ICMP.
>
>
> Parece-me que um meio termo prudente é o que é recomendado em:
>
>
> http://www.cymru.com/Documents/icmp-messages.html
>
Importante a observacao do Alexandre. Por mais
radical que seja a politica de filtragem, nao se
deve filtrar ICMP indistintamente. Filtrar ICMP
de modo irrestrito, pode fazer com que aplicacoes
nao funcionem na pratica. O exemplo classico
eh a quebra do Path MTU Discovery (RFC1191),
quando se filtra ICMP type 3, code 4. Jah vi sites,
como o da receita federal, nao funcionarem, porque
os administradores de lah filtram, indistintamente,
todo e qualquer pacote ICMP.
Modelos de agregacao dial (com L2TP), Cable
(com PPPoE) ou ADSL (com PPPoE), cuja MTU pode
ser adaptada para valores menores que 1500 (MTU
mais comum em servidores Internet), podem fazer
com que um grande nr de usuarios deixem de ter
acesso 'a sites com politicas de seguranca tao
agressivas e, de certo modo, cegas.
Varias sao as referencias na Internet, mas acho
que o site abaixo ilustra bem a questao:
http://alive.znep.com/~marcs/mtu/
Gustavo Albuquerque
More information about the gter
mailing list