[GTER] Bug no Sistema Automático de Quarentena do IX.br SP ou Junos?

Filipe Abelha filipeabelhamelo at gmail.com
Wed Nov 9 12:54:13 -02 2016


Gustavo, também passei por esse problema e só consegui resolver isso
refazendo o firewall ipv6 do juniper.
Ao invés de usar "input-list" na loopback com várias regras na sequência
resumi tudo em um único filtro mais simples. Só assim passou no teste.
Se quiser dar uma olhada no filtro me contacta no pvt.

Filipe

Em 9 de novembro de 2016 09:44, Gustavo Santos <gustkiller at gmail.com>
escreveu:

> Fábio,
> Por aqui o único erro que persiste é o de NTP v6.
> Segue o que já foi feito:
> - Filtro na routing engine e na propria Vlan IPv6 permitindo apenas ICMPv6
> e BGP e negando  todo o resto.
> - Desativação do NTP do roteador
> - Desativação do Processo NTP do roteador
> - Kill -9 no processo NTP do roteador via shell
>
> Até o netstat via shell do Junos , confirma porta 123 não está aberta /
> escutando.
>
> Em 9 de novembro de 2016 09:08, Fábio Hernandes <fabio at hernandes.eti.br>
> escreveu:
>
> > Gustavo, recentemente um cliente caiu no teste de quarentena e precisei
> > filtrar snmp e ntp.
> >
> > Como no seu caso, mesmo desativando o processo, continuava reprovado no
> > teste. A solução foi colocar uma regra específica bloqueando isso.
> >
> > Outra coisa é que você precisa colocar a regra liberando ICMP6 acima do
> > BGP.
> >
> > A versão do JunOS é 13.3R6.5.
> >
> > --
> > Fábio R. Hernandes
> > Fone: (17) 99643 6715
> > Skype: hernandes.fabio
> >
> > Em 9 de novembro de 2016 08:46, João Butzke <lista-gter at tbonet.net.br>
> > escreveu:
> >
> > > Não pode ser algo no meio?
> > >
> > >
> > > Em 08/11/2016 23:00, Gustavo Santos escreveu:
> > >
> > >> Obrigado Lucenildo,
> > >>
> > >> Agora  pouco inclusive fiz alguns testes, via shell do Junos e até via
> > >> netstat confirma que o ntp no está ativo nem escutando.
> > >>
> > >>
> > >>
> > >> Em terça-feira, 8 de novembro de 2016, Lucenildo Lins Aquino Júnior <
> > >> lucenildo at nic.br> escreveu:
> > >>
> > >> Caro Gustavo,
> > >>>
> > >>> Amanhã vamos fazer uma análise mais elaborada e retornamos o contato
> > >>> pelo seu chamado.
> > >>>
> > >>> De ante mão te informo que no nosso laboratório temos um Juniper e
> não
> > >>> tivemos problemas e ou eventos.
> > >>>
> > >>> Gostaria de ressalta que temos canais diretos de comunicação através
> do
> > >>> portal (http://meu.ix.br) e do telefone +55.11.5509-3550.
> > >>>
> > >>> Grato e a disposição,
> > >>>
> > >>>
> > >>> Em 08/11/16 17:02, Gustavo Santos escreveu:
> > >>>
> > >>>> Pessoal,
> > >>>>
> > >>>> Hoje a tarde, ativando o IX.br SP em um cliente. Esbarrei em um
> > >>>> problema.
> > >>>> Pela primeira vez ativo um cliente via sistema de quarentena
> > automático.
> > >>>> O roteador passa em todos os testes, exceto teste NTP IPv6, pois o
> > >>>>
> > >>> sistema
> > >>>
> > >>>> do Ix.Br informa que o NTP está respondendo em IPv6.
> > >>>>
> > >>>> O estranho é que após este erro, reverifiquei as regras de Firewall
> do
> > >>>> Junos, desativei o serviço NTP do roteador,
> > >>>>
> > >>>> set system processes ntp disable
> > >>>> deactivate system ntp
> > >>>>
> > >>>> Além de um filtro ultra restritivo, só permitindo BGP e ICMP. O
> filtro
> > >>>>
> > >>> foi
> > >>>
> > >>>> testado deixando apenas ICMP ativo , e as sessões de quarentena
> caíram
> > >>>>
> > >>> logo
> > >>>
> > >>>> após ativação do filtro IPv6 na RE.
> > >>>>
> > >>>> A ultima tentativa foi matar o processo NTP do roteador, mas sntpd
> > >>>>
> > >>> retorna
> > >>>
> > >>>> automaticamente.  Alguém já passou por este problema?
> > >>>>
> > >>>> Mesmo após todas estas modificações , o sistema de teste acusa erro.
> > >>>> Testes de segurança:
> > >>>> ------------------------------
> > >>>> O seu equipamento está respondendo requisições NTP no IPv6
> > >>>> --
> > >>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> > >>>>
> > >>> --
> > >>> NIC.br | Lucenildo Aquino Júnior
> > >>> Analista de Projetos
> > >>> Centro de Estudos e Pesquisas em Tecnologias de Redes e Operações
> > >>> (Ceptro.br)
> > >>> +55 11 5509-3537R.: 4122
> > >>> INOC 22548*552
> > >>> www.nic.br <http://nic.br>
> > >>>
> > >>>
> > >>> --
> > >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> > >>>
> > >> --
> > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > >>
> > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list