[GTER] Bug no Sistema Automático de Quarentena do IX.br SP ou Junos?
Fábio Hernandes
fabio at hernandes.eti.br
Wed Nov 9 10:08:32 -02 2016
Gustavo, recentemente um cliente caiu no teste de quarentena e precisei
filtrar snmp e ntp.
Como no seu caso, mesmo desativando o processo, continuava reprovado no
teste. A solução foi colocar uma regra específica bloqueando isso.
Outra coisa é que você precisa colocar a regra liberando ICMP6 acima do BGP.
A versão do JunOS é 13.3R6.5.
--
Fábio R. Hernandes
Fone: (17) 99643 6715
Skype: hernandes.fabio
Em 9 de novembro de 2016 08:46, João Butzke <lista-gter at tbonet.net.br>
escreveu:
> Não pode ser algo no meio?
>
>
> Em 08/11/2016 23:00, Gustavo Santos escreveu:
>
>> Obrigado Lucenildo,
>>
>> Agora pouco inclusive fiz alguns testes, via shell do Junos e até via
>> netstat confirma que o ntp no está ativo nem escutando.
>>
>>
>>
>> Em terça-feira, 8 de novembro de 2016, Lucenildo Lins Aquino Júnior <
>> lucenildo at nic.br> escreveu:
>>
>> Caro Gustavo,
>>>
>>> Amanhã vamos fazer uma análise mais elaborada e retornamos o contato
>>> pelo seu chamado.
>>>
>>> De ante mão te informo que no nosso laboratório temos um Juniper e não
>>> tivemos problemas e ou eventos.
>>>
>>> Gostaria de ressalta que temos canais diretos de comunicação através do
>>> portal (http://meu.ix.br) e do telefone +55.11.5509-3550.
>>>
>>> Grato e a disposição,
>>>
>>>
>>> Em 08/11/16 17:02, Gustavo Santos escreveu:
>>>
>>>> Pessoal,
>>>>
>>>> Hoje a tarde, ativando o IX.br SP em um cliente. Esbarrei em um
>>>> problema.
>>>> Pela primeira vez ativo um cliente via sistema de quarentena automático.
>>>> O roteador passa em todos os testes, exceto teste NTP IPv6, pois o
>>>>
>>> sistema
>>>
>>>> do Ix.Br informa que o NTP está respondendo em IPv6.
>>>>
>>>> O estranho é que após este erro, reverifiquei as regras de Firewall do
>>>> Junos, desativei o serviço NTP do roteador,
>>>>
>>>> set system processes ntp disable
>>>> deactivate system ntp
>>>>
>>>> Além de um filtro ultra restritivo, só permitindo BGP e ICMP. O filtro
>>>>
>>> foi
>>>
>>>> testado deixando apenas ICMP ativo , e as sessões de quarentena caíram
>>>>
>>> logo
>>>
>>>> após ativação do filtro IPv6 na RE.
>>>>
>>>> A ultima tentativa foi matar o processo NTP do roteador, mas sntpd
>>>>
>>> retorna
>>>
>>>> automaticamente. Alguém já passou por este problema?
>>>>
>>>> Mesmo após todas estas modificações , o sistema de teste acusa erro.
>>>> Testes de segurança:
>>>> ------------------------------
>>>> O seu equipamento está respondendo requisições NTP no IPv6
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>
>>> --
>>> NIC.br | Lucenildo Aquino Júnior
>>> Analista de Projetos
>>> Centro de Estudos e Pesquisas em Tecnologias de Redes e Operações
>>> (Ceptro.br)
>>> +55 11 5509-3537R.: 4122
>>> INOC 22548*552
>>> www.nic.br <http://nic.br>
>>>
>>>
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list