[GTER] Bug no Sistema Automático de Quarentena do IX.br SP ou Junos?

Rubens Kuhl rubensk at gmail.com
Wed Nov 9 14:00:37 -02 2016


Se filtrado significa retornando um ICMP UNREACHABLE, pode não ser a melhor
opção nem do ponto de vista de processamento no roteador nem do ponto de
vista de comportamento na rede, pois a resposta pode estar sendo enviada
para um IP que na requisição original era fonte que é spoofing...


Rubens


2016-11-09 20:34 GMT+05:30 Gustavo Santos <gustkiller at gmail.com>:

> Lembrei de fazer o obvio e o resultado foi o que imaginei. Realmente está
> filtrado ( teste para IP público v6 de loopback do roteador, vou prosseguir
> com o chamado no Nic.br.
>
>
> Scanning Host: xxxxxxxxx ...
> UDP6 Port 1 FILTERED
> UDP6 Port 7 *echo* FILTERED
> UDP6 Port 13 *daytime* FILTERED
> UDP6 Port 49 *tacacs* FILTERED
> UDP6 Port 53 *domain* FILTERED
> UDP6 Port 63 FILTERED
> UDP6 Port 67 *bootps* FILTERED
> UDP6 Port 68 *bootpc* FILTERED
> UDP6 Port 69 *tftp* FILTERED
> UDP6 Port 88 *kerberos* FILTERED
> UDP6 Port 111 *sunrpc* FILTERED
> UDP6 Port 123 *ntp* FILTERED
> UDP6 Port 137 *netbios-ns* FILTERED
> UDP6 Port 138 *netbios-dgm* FILTERED
> UDP6 Port 161 *snmp* FILTERED
> UDP6 Port 192 FILTERED
> UDP6 Port 389 *ldap* FILTERED
> UDP6 Port 427 *svrloc* FILTERED
> UDP6 Port 500 *isakmp* FILTERED
> UDP6 Port 514 *syslog* FILTERED
> UDP6 Port 546 *dhcpv6-client* FILTERED
> UDP6 Port 547 *dhcpv6-server* FILTERED
> UDP6 Port 623 *asf-rmcp* FILTERED
> UDP6 Port 626 FILTERED
> UDP6 Port 901 FILTERED
> UDP6 Port 1026 FILTERED
> UDP6 Port 1194 *openvpn* FILTERED
> UDP6 Port 1214 *kazaa* FILTERED
> UDP6 Port 1433 *ms-sql-s* FILTERED
> UDP6 Port 1434 *ms-sql-m* FILTERED
> UDP6 Port 1701 *l2f* FILTERED
> UDP6 Port 1900 FILTERED
> UDP6 Port 2007 FILTERED
> UDP6 Port 2049 *nfs* FILTERED
> UDP6 Port 3031 FILTERED
> UDP6 Port 3389 FILTERED
> UDP6 Port 3478 FILTERED
> UDP6 Port 3544 FILTERED
> UDP6 Port 3659 FILTERED
> UDP6 Port 4500 FILTERED
> UDP6 Port 4665 FILTERED
> UDP6 Port 4672 FILTERED
> UDP6 Port 4899 *radmin-port* FILTERED
> UDP6 Port 5060 *sip* FILTERED
> UDP6 Port 5072 FILTERED
> UDP6 Port 5246 FILTERED
> UDP6 Port 5353 *mdns* FILTERED
> UDP6 Port 5678 FILTERED
> UDP6 Port 6000 *x11* FILTERED
> UDP6 Port 6073 FILTERED
> UDP6 Port 6257 FILTERED
> UDP6 Port 6346 *gnutella-svc* FILTERED
> UDP6 Port 6801 FILTERED
> UDP6 Port 6901 FILTERED
> UDP6 Port 9100 FILTERED
> UDP6 Port 9898 FILTERED
> UDP6 Port 10000 FILTERED
> UDP6 Port 10080 *amanda* FILTERED
> UDP6 Port 12345 FILTERED
> UDP6 Port 26000 FILTERED
>
> Em 9 de novembro de 2016 09:44, Gustavo Santos <gustkiller at gmail.com>
> escreveu:
>
> > Fábio,
> > Por aqui o único erro que persiste é o de NTP v6.
> > Segue o que já foi feito:
> > - Filtro na routing engine e na propria Vlan IPv6 permitindo apenas
> ICMPv6
> > e BGP e negando  todo o resto.
> > - Desativação do NTP do roteador
> > - Desativação do Processo NTP do roteador
> > - Kill -9 no processo NTP do roteador via shell
> >
> > Até o netstat via shell do Junos , confirma porta 123 não está aberta /
> > escutando.
> >
> > Em 9 de novembro de 2016 09:08, Fábio Hernandes <fabio at hernandes.eti.br>
> > escreveu:
> >
> >> Gustavo, recentemente um cliente caiu no teste de quarentena e precisei
> >> filtrar snmp e ntp.
> >>
> >> Como no seu caso, mesmo desativando o processo, continuava reprovado no
> >> teste. A solução foi colocar uma regra específica bloqueando isso.
> >>
> >> Outra coisa é que você precisa colocar a regra liberando ICMP6 acima do
> >> BGP.
> >>
> >> A versão do JunOS é 13.3R6.5.
> >>
> >> --
> >> Fábio R. Hernandes
> >> Fone: (17) 99643 6715
> >> Skype: hernandes.fabio
> >>
> >> Em 9 de novembro de 2016 08:46, João Butzke <lista-gter at tbonet.net.br>
> >> escreveu:
> >>
> >> > Não pode ser algo no meio?
> >> >
> >> >
> >> > Em 08/11/2016 23:00, Gustavo Santos escreveu:
> >> >
> >> >> Obrigado Lucenildo,
> >> >>
> >> >> Agora  pouco inclusive fiz alguns testes, via shell do Junos e até
> via
> >> >> netstat confirma que o ntp no está ativo nem escutando.
> >> >>
> >> >>
> >> >>
> >> >> Em terça-feira, 8 de novembro de 2016, Lucenildo Lins Aquino Júnior <
> >> >> lucenildo at nic.br> escreveu:
> >> >>
> >> >> Caro Gustavo,
> >> >>>
> >> >>> Amanhã vamos fazer uma análise mais elaborada e retornamos o contato
> >> >>> pelo seu chamado.
> >> >>>
> >> >>> De ante mão te informo que no nosso laboratório temos um Juniper e
> não
> >> >>> tivemos problemas e ou eventos.
> >> >>>
> >> >>> Gostaria de ressalta que temos canais diretos de comunicação através
> >> do
> >> >>> portal (http://meu.ix.br) e do telefone +55.11.5509-3550.
> >> >>>
> >> >>> Grato e a disposição,
> >> >>>
> >> >>>
> >> >>> Em 08/11/16 17:02, Gustavo Santos escreveu:
> >> >>>
> >> >>>> Pessoal,
> >> >>>>
> >> >>>> Hoje a tarde, ativando o IX.br SP em um cliente. Esbarrei em um
> >> >>>> problema.
> >> >>>> Pela primeira vez ativo um cliente via sistema de quarentena
> >> automático.
> >> >>>> O roteador passa em todos os testes, exceto teste NTP IPv6, pois o
> >> >>>>
> >> >>> sistema
> >> >>>
> >> >>>> do Ix.Br informa que o NTP está respondendo em IPv6.
> >> >>>>
> >> >>>> O estranho é que após este erro, reverifiquei as regras de Firewall
> >> do
> >> >>>> Junos, desativei o serviço NTP do roteador,
> >> >>>>
> >> >>>> set system processes ntp disable
> >> >>>> deactivate system ntp
> >> >>>>
> >> >>>> Além de um filtro ultra restritivo, só permitindo BGP e ICMP. O
> >> filtro
> >> >>>>
> >> >>> foi
> >> >>>
> >> >>>> testado deixando apenas ICMP ativo , e as sessões de quarentena
> >> caíram
> >> >>>>
> >> >>> logo
> >> >>>
> >> >>>> após ativação do filtro IPv6 na RE.
> >> >>>>
> >> >>>> A ultima tentativa foi matar o processo NTP do roteador, mas sntpd
> >> >>>>
> >> >>> retorna
> >> >>>
> >> >>>> automaticamente.  Alguém já passou por este problema?
> >> >>>>
> >> >>>> Mesmo após todas estas modificações , o sistema de teste acusa
> erro.
> >> >>>> Testes de segurança:
> >> >>>> ------------------------------
> >> >>>> O seu equipamento está respondendo requisições NTP no IPv6
> >> >>>> --
> >> >>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >>>>
> >> >>> --
> >> >>> NIC.br | Lucenildo Aquino Júnior
> >> >>> Analista de Projetos
> >> >>> Centro de Estudos e Pesquisas em Tecnologias de Redes e Operações
> >> >>> (Ceptro.br)
> >> >>> +55 11 5509-3537R.: 4122
> >> >>> INOC 22548*552
> >> >>> www.nic.br <http://nic.br>
> >> >>>
> >> >>>
> >> >>> --
> >> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >>>
> >> >> --
> >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >>
> >> >
> >> > --
> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> >
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list