[GTER] Bug no Sistema Automático de Quarentena do IX.br SP ou Junos?
Gustavo Santos
gustkiller at gmail.com
Wed Nov 9 13:04:00 -02 2016
Lembrei de fazer o obvio e o resultado foi o que imaginei. Realmente está
filtrado ( teste para IP público v6 de loopback do roteador, vou prosseguir
com o chamado no Nic.br.
Scanning Host: xxxxxxxxx ...
UDP6 Port 1 FILTERED
UDP6 Port 7 *echo* FILTERED
UDP6 Port 13 *daytime* FILTERED
UDP6 Port 49 *tacacs* FILTERED
UDP6 Port 53 *domain* FILTERED
UDP6 Port 63 FILTERED
UDP6 Port 67 *bootps* FILTERED
UDP6 Port 68 *bootpc* FILTERED
UDP6 Port 69 *tftp* FILTERED
UDP6 Port 88 *kerberos* FILTERED
UDP6 Port 111 *sunrpc* FILTERED
UDP6 Port 123 *ntp* FILTERED
UDP6 Port 137 *netbios-ns* FILTERED
UDP6 Port 138 *netbios-dgm* FILTERED
UDP6 Port 161 *snmp* FILTERED
UDP6 Port 192 FILTERED
UDP6 Port 389 *ldap* FILTERED
UDP6 Port 427 *svrloc* FILTERED
UDP6 Port 500 *isakmp* FILTERED
UDP6 Port 514 *syslog* FILTERED
UDP6 Port 546 *dhcpv6-client* FILTERED
UDP6 Port 547 *dhcpv6-server* FILTERED
UDP6 Port 623 *asf-rmcp* FILTERED
UDP6 Port 626 FILTERED
UDP6 Port 901 FILTERED
UDP6 Port 1026 FILTERED
UDP6 Port 1194 *openvpn* FILTERED
UDP6 Port 1214 *kazaa* FILTERED
UDP6 Port 1433 *ms-sql-s* FILTERED
UDP6 Port 1434 *ms-sql-m* FILTERED
UDP6 Port 1701 *l2f* FILTERED
UDP6 Port 1900 FILTERED
UDP6 Port 2007 FILTERED
UDP6 Port 2049 *nfs* FILTERED
UDP6 Port 3031 FILTERED
UDP6 Port 3389 FILTERED
UDP6 Port 3478 FILTERED
UDP6 Port 3544 FILTERED
UDP6 Port 3659 FILTERED
UDP6 Port 4500 FILTERED
UDP6 Port 4665 FILTERED
UDP6 Port 4672 FILTERED
UDP6 Port 4899 *radmin-port* FILTERED
UDP6 Port 5060 *sip* FILTERED
UDP6 Port 5072 FILTERED
UDP6 Port 5246 FILTERED
UDP6 Port 5353 *mdns* FILTERED
UDP6 Port 5678 FILTERED
UDP6 Port 6000 *x11* FILTERED
UDP6 Port 6073 FILTERED
UDP6 Port 6257 FILTERED
UDP6 Port 6346 *gnutella-svc* FILTERED
UDP6 Port 6801 FILTERED
UDP6 Port 6901 FILTERED
UDP6 Port 9100 FILTERED
UDP6 Port 9898 FILTERED
UDP6 Port 10000 FILTERED
UDP6 Port 10080 *amanda* FILTERED
UDP6 Port 12345 FILTERED
UDP6 Port 26000 FILTERED
Em 9 de novembro de 2016 09:44, Gustavo Santos <gustkiller at gmail.com>
escreveu:
> Fábio,
> Por aqui o único erro que persiste é o de NTP v6.
> Segue o que já foi feito:
> - Filtro na routing engine e na propria Vlan IPv6 permitindo apenas ICMPv6
> e BGP e negando todo o resto.
> - Desativação do NTP do roteador
> - Desativação do Processo NTP do roteador
> - Kill -9 no processo NTP do roteador via shell
>
> Até o netstat via shell do Junos , confirma porta 123 não está aberta /
> escutando.
>
> Em 9 de novembro de 2016 09:08, Fábio Hernandes <fabio at hernandes.eti.br>
> escreveu:
>
>> Gustavo, recentemente um cliente caiu no teste de quarentena e precisei
>> filtrar snmp e ntp.
>>
>> Como no seu caso, mesmo desativando o processo, continuava reprovado no
>> teste. A solução foi colocar uma regra específica bloqueando isso.
>>
>> Outra coisa é que você precisa colocar a regra liberando ICMP6 acima do
>> BGP.
>>
>> A versão do JunOS é 13.3R6.5.
>>
>> --
>> Fábio R. Hernandes
>> Fone: (17) 99643 6715
>> Skype: hernandes.fabio
>>
>> Em 9 de novembro de 2016 08:46, João Butzke <lista-gter at tbonet.net.br>
>> escreveu:
>>
>> > Não pode ser algo no meio?
>> >
>> >
>> > Em 08/11/2016 23:00, Gustavo Santos escreveu:
>> >
>> >> Obrigado Lucenildo,
>> >>
>> >> Agora pouco inclusive fiz alguns testes, via shell do Junos e até via
>> >> netstat confirma que o ntp no está ativo nem escutando.
>> >>
>> >>
>> >>
>> >> Em terça-feira, 8 de novembro de 2016, Lucenildo Lins Aquino Júnior <
>> >> lucenildo at nic.br> escreveu:
>> >>
>> >> Caro Gustavo,
>> >>>
>> >>> Amanhã vamos fazer uma análise mais elaborada e retornamos o contato
>> >>> pelo seu chamado.
>> >>>
>> >>> De ante mão te informo que no nosso laboratório temos um Juniper e não
>> >>> tivemos problemas e ou eventos.
>> >>>
>> >>> Gostaria de ressalta que temos canais diretos de comunicação através
>> do
>> >>> portal (http://meu.ix.br) e do telefone +55.11.5509-3550.
>> >>>
>> >>> Grato e a disposição,
>> >>>
>> >>>
>> >>> Em 08/11/16 17:02, Gustavo Santos escreveu:
>> >>>
>> >>>> Pessoal,
>> >>>>
>> >>>> Hoje a tarde, ativando o IX.br SP em um cliente. Esbarrei em um
>> >>>> problema.
>> >>>> Pela primeira vez ativo um cliente via sistema de quarentena
>> automático.
>> >>>> O roteador passa em todos os testes, exceto teste NTP IPv6, pois o
>> >>>>
>> >>> sistema
>> >>>
>> >>>> do Ix.Br informa que o NTP está respondendo em IPv6.
>> >>>>
>> >>>> O estranho é que após este erro, reverifiquei as regras de Firewall
>> do
>> >>>> Junos, desativei o serviço NTP do roteador,
>> >>>>
>> >>>> set system processes ntp disable
>> >>>> deactivate system ntp
>> >>>>
>> >>>> Além de um filtro ultra restritivo, só permitindo BGP e ICMP. O
>> filtro
>> >>>>
>> >>> foi
>> >>>
>> >>>> testado deixando apenas ICMP ativo , e as sessões de quarentena
>> caíram
>> >>>>
>> >>> logo
>> >>>
>> >>>> após ativação do filtro IPv6 na RE.
>> >>>>
>> >>>> A ultima tentativa foi matar o processo NTP do roteador, mas sntpd
>> >>>>
>> >>> retorna
>> >>>
>> >>>> automaticamente. Alguém já passou por este problema?
>> >>>>
>> >>>> Mesmo após todas estas modificações , o sistema de teste acusa erro.
>> >>>> Testes de segurança:
>> >>>> ------------------------------
>> >>>> O seu equipamento está respondendo requisições NTP no IPv6
>> >>>> --
>> >>>> gter list https://eng.registro.br/mailman/listinfo/gter
>> >>>>
>> >>> --
>> >>> NIC.br | Lucenildo Aquino Júnior
>> >>> Analista de Projetos
>> >>> Centro de Estudos e Pesquisas em Tecnologias de Redes e Operações
>> >>> (Ceptro.br)
>> >>> +55 11 5509-3537R.: 4122
>> >>> INOC 22548*552
>> >>> www.nic.br <http://nic.br>
>> >>>
>> >>>
>> >>> --
>> >>> gter list https://eng.registro.br/mailman/listinfo/gter
>> >>>
>> >> --
>> >> gter list https://eng.registro.br/mailman/listinfo/gter
>> >>
>> >
>> > --
>> > gter list https://eng.registro.br/mailman/listinfo/gter
>> >
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
>
More information about the gter
mailing list