[GTER] Bug no Sistema Automático de Quarentena do IX.br SP ou Junos?

Gustavo Santos gustkiller at gmail.com
Wed Nov 9 10:44:22 -02 2016


Fábio,
Por aqui o único erro que persiste é o de NTP v6.
Segue o que já foi feito:
- Filtro na routing engine e na propria Vlan IPv6 permitindo apenas ICMPv6
e BGP e negando  todo o resto.
- Desativação do NTP do roteador
- Desativação do Processo NTP do roteador
- Kill -9 no processo NTP do roteador via shell

Até o netstat via shell do Junos , confirma porta 123 não está aberta /
escutando.

Em 9 de novembro de 2016 09:08, Fábio Hernandes <fabio at hernandes.eti.br>
escreveu:

> Gustavo, recentemente um cliente caiu no teste de quarentena e precisei
> filtrar snmp e ntp.
>
> Como no seu caso, mesmo desativando o processo, continuava reprovado no
> teste. A solução foi colocar uma regra específica bloqueando isso.
>
> Outra coisa é que você precisa colocar a regra liberando ICMP6 acima do
> BGP.
>
> A versão do JunOS é 13.3R6.5.
>
> --
> Fábio R. Hernandes
> Fone: (17) 99643 6715
> Skype: hernandes.fabio
>
> Em 9 de novembro de 2016 08:46, João Butzke <lista-gter at tbonet.net.br>
> escreveu:
>
> > Não pode ser algo no meio?
> >
> >
> > Em 08/11/2016 23:00, Gustavo Santos escreveu:
> >
> >> Obrigado Lucenildo,
> >>
> >> Agora  pouco inclusive fiz alguns testes, via shell do Junos e até via
> >> netstat confirma que o ntp no está ativo nem escutando.
> >>
> >>
> >>
> >> Em terça-feira, 8 de novembro de 2016, Lucenildo Lins Aquino Júnior <
> >> lucenildo at nic.br> escreveu:
> >>
> >> Caro Gustavo,
> >>>
> >>> Amanhã vamos fazer uma análise mais elaborada e retornamos o contato
> >>> pelo seu chamado.
> >>>
> >>> De ante mão te informo que no nosso laboratório temos um Juniper e não
> >>> tivemos problemas e ou eventos.
> >>>
> >>> Gostaria de ressalta que temos canais diretos de comunicação através do
> >>> portal (http://meu.ix.br) e do telefone +55.11.5509-3550.
> >>>
> >>> Grato e a disposição,
> >>>
> >>>
> >>> Em 08/11/16 17:02, Gustavo Santos escreveu:
> >>>
> >>>> Pessoal,
> >>>>
> >>>> Hoje a tarde, ativando o IX.br SP em um cliente. Esbarrei em um
> >>>> problema.
> >>>> Pela primeira vez ativo um cliente via sistema de quarentena
> automático.
> >>>> O roteador passa em todos os testes, exceto teste NTP IPv6, pois o
> >>>>
> >>> sistema
> >>>
> >>>> do Ix.Br informa que o NTP está respondendo em IPv6.
> >>>>
> >>>> O estranho é que após este erro, reverifiquei as regras de Firewall do
> >>>> Junos, desativei o serviço NTP do roteador,
> >>>>
> >>>> set system processes ntp disable
> >>>> deactivate system ntp
> >>>>
> >>>> Além de um filtro ultra restritivo, só permitindo BGP e ICMP. O filtro
> >>>>
> >>> foi
> >>>
> >>>> testado deixando apenas ICMP ativo , e as sessões de quarentena caíram
> >>>>
> >>> logo
> >>>
> >>>> após ativação do filtro IPv6 na RE.
> >>>>
> >>>> A ultima tentativa foi matar o processo NTP do roteador, mas sntpd
> >>>>
> >>> retorna
> >>>
> >>>> automaticamente.  Alguém já passou por este problema?
> >>>>
> >>>> Mesmo após todas estas modificações , o sistema de teste acusa erro.
> >>>> Testes de segurança:
> >>>> ------------------------------
> >>>> O seu equipamento está respondendo requisições NTP no IPv6
> >>>> --
> >>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>
> >>> --
> >>> NIC.br | Lucenildo Aquino Júnior
> >>> Analista de Projetos
> >>> Centro de Estudos e Pesquisas em Tecnologias de Redes e Operações
> >>> (Ceptro.br)
> >>> +55 11 5509-3537R.: 4122
> >>> INOC 22548*552
> >>> www.nic.br <http://nic.br>
> >>>
> >>>
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list