RES: [GTER] Indisponibilidade no TIC?

Leandro M Bertholdo berthold at penta.ufrgs.br
Mon Mar 21 18:51:07 -03 2005


Se você tem VPNS e FW na mesma máquina é importante verificar o que faz com
os pacotes ICMP e o que é processado antes na pilha TCP/IP. Caso contrario,
pode ter surpresas desagradáveis e de difícil diagnostico. Especialmente
quando alguém tentar fazer grandes transferências de arquivo (Max MTU/MSS)
devido a uma diferença entre o MTU que o router e a VPN usam ( devido a um
segundo header, se for o caso). Nesse caso o NEEDFRAG citado pelo Tiago é
necessário - a menos que seja feito um ajuste no MTU do tunnel.

$0,06 ;-)

> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de Tiago N. Sampaio
> Enviada em: segunda-feira, 21 de março de 2005 17:47
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] Indisponibilidade no TIC?
> 
> Quanto ao need to frag, depende onde você for acessar..
> pois em redes brasileiras não conheço nenhuma que tenha mtu fora do
> padrão, ou seja
> não é preciso fragmentar os pacotes.
> 
> E eu acredito tambem, que isso só seja utilizado em roteadores, pois se
> algum pacote for
> passar para uma rede que tenha que ser dividido, os proprios roteadores
> fazem isso, ou não???
> 
> 
> Abraços.
> 
> Alexandre Hautequest wrote:
> 
> >Nelio Souza Santos Filho - PLANAE wrote:
> >
> >
> >>Caro Fabio,
> >>
> >>Existem diversos tipos de aplicacoes para um firewall, e servicos
> >>disponiveis na Internet.
> >>
> >>Bloquear ICMP pode nao ser interessante para um ISP, mas para grandes
> >>empresas privadas, por exemplo, trata-se de uma questao de seguranca.
> >>
> >>Firewalls eficientes em empresas privadas, bloqueiam todo e qualquer
> >>tipo de trafego que nao seja explicitamente permitido.
> >>
> >>
> >
> >Firewalls eficientes bloqueiam todo e qualquer tipo de trafego que nao
> >seja explicitamente permitido e nao atrapalham o desempenho e
> >funcionamento basico de uma rede.
> >
> >
> >
> >>Segue abaixo alguns exemplos de motivos que levam alguns administradores
> >>de redes a bloquear os pacotes ICMP:
> >>
> >>1.) as funcoes basicas do ICMP nao sao usuais no dia a dia, exceto os
> >>tipos 0 -> request e 8 -> echo reply.
> >>
> >>
> >
> >Ta... entao vc esta assumindo que host unreachable e need to frag, por
> >exemplo, nao sao usuais?
> >
> >
> >
> >>2.) as outras opcoes do ICMP geralmente dao fruto a ataques de negacao
> >>de servico. Ataques antigos, jah protegidos pelos sistemas operacionais
> >>atuais, mas que geram trafego. Ex: nuke, ssping, icmpflood e outros
> >>inumeros, utilizam base icmp.
> >>
> >>
> >
> >E pra isto existem os limitadores de trafego tanto icmp quanto de outros
> >protocolos.
> >
> >
> >
> >>A principal utilidade do ICMP dentro das empresas corporativas, eh saber
> >>se as maquinas esta UP ou DOWN, mas isto nao eh interessante estar
> >>disponivel para pessoas na Internet, que podem se aproveitar deste tipo
> >>de informacao, para saber se um determinado tipo de exploit funciona ou
> >>nao.
> >>
> >>
> >
> >telnet servidor [porta do servico]
> >
> >(... assumindo que nao eh nenhuma porta tcp tosca tipo netbios -- 445 --
> >que todos sabemos que vai estar bloqueada de qualquer jeito)
> >
> >
> >
> >>Ex: ao executar um ataque a um host remoto, pode se utilizar do ping
> >>(atraves de outra rede), para certificar se o Host ficou DOWN ou nao.
> >>
> >>
> >>Dentro das caracteristicas comuns e usuais, em empresas corporativas, o
> >>padrao tem sido fechado para pacotes do tipo ICMP. Porem provedores de
> >>acesso e ISP teem adotado como padrao aberto a estes pacotes.
> >>
> >>
> >>Espero ter-lhe ajudado a entender porque alguns administradores utilizam
> >>o padrao fechado para este tipo de pacote, que muitas vezes soh
> >>interessa a rede interna.
> >>
> >>Ok?
> >>
> >>Um grande abraco,
> >>
> >>
> >>
> >
> >
> >
> >
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list