[GTER] Re: [GTER]Anuncio: versao 1.1 de "Praticas de Seguranc a para Administradores de Redes Internet"

Marcos Tadeu von Lutzow Vidal marcos at telecom.uff.br
Mon Sep 23 10:39:00 -03 2002 

On Sunday 22 September 2002 11:42, you wrote:
> > -----Original Message-----
> > From: Alexandre L. Grojsgold [mailto:algold at rnp.br]
> ...
> > Sei que é só um exemplo, mas administradores de sistema  de 
> > última hora podem usar o exemplo como modelo para fazer seus 
> > filtros com pequenas adaptações. O filtro do exemplo e do tipo 
> > deny por default - e nada foi dito sobre o ICMP !!
> > 
> > 
> > Se o firewall não faz também a função de NAT, e as máquinas da rede
> > interna tem endereços válidos, então teoricamente elas 
> > deveriam estar na
> > Internet, o que significa alguma liberdade de tráfego e sobretudo a
> > possibilidade de executar determinadas funções end to end (base de
> > funcionamento da rede), e que demandam o uso de ICMP.
> > 
> > 
> > Parece-me que um meio termo prudente é o que é recomendado em:
> > 
> > 
> >    http://www.cymru.com/Documents/icmp-messages.html
> > 
> 
>   Importante a observacao do Alexandre. Por mais 
> radical que seja a politica de filtragem, nao se 
> deve filtrar ICMP indistintamente. Filtrar ICMP 
> de modo irrestrito, pode fazer com que aplicacoes 
> nao funcionem na pratica. O exemplo classico
> eh a quebra do Path MTU Discovery (RFC1191), 
> quando se filtra ICMP type 3, code 4. Jah vi sites, 
> como o da receita federal, nao funcionarem, porque 
> os administradores de lah filtram, indistintamente, 
> todo e qualquer pacote ICMP.
> 
>   Modelos de agregacao dial (com L2TP), Cable 
> (com PPPoE) ou ADSL (com PPPoE), cuja MTU pode 
> ser adaptada para valores menores que 1500 (MTU 
> mais comum em servidores Internet), podem fazer 
> com que um grande nr de usuarios deixem de ter 
> acesso 'a sites com politicas de seguranca tao 
> agressivas e, de certo modo, cegas.

Normalmente todos usando filtro de pacotes stateless, ou seja, firewall de 
brinquedo.

> 
>   Varias sao as referencias na Internet, mas acho
> que o site abaixo ilustra bem a questao:
> 
> http://alive.znep.com/~marcs/mtu/
> 
>   Gustavo Albuquerque
> --
> GTER list    http://eng.registro.br/mailman/listinfo/gter
> 
>

More information about the gter mailing list