[GTER] Bug no Sistema Automático de Quarentena do IX.br SP ou Junos?
Fábio Hernandes
fabio at hernandes.eti.br
Wed Nov 9 14:35:58 -02 2016
Tenta algo assim para o NTP:
set firewall family inet6 filter PROTECT-RE term rejeita-ntp from
payload-protocol udp
set firewall family inet6 filter PROTECT-RE term rejeita-ntp from port ntp
set firewall family inet6 filter PROTECT-RE term rejeita-ntp then discard
--
Fábio R. Hernandes
Fone: (17) 99643 6715
Skype: hernandes.fabio
Em 9 de novembro de 2016 10:44, Gustavo Santos <gustkiller at gmail.com>
escreveu:
> Fábio,
> Por aqui o único erro que persiste é o de NTP v6.
> Segue o que já foi feito:
> - Filtro na routing engine e na propria Vlan IPv6 permitindo apenas ICMPv6
> e BGP e negando todo o resto.
> - Desativação do NTP do roteador
> - Desativação do Processo NTP do roteador
> - Kill -9 no processo NTP do roteador via shell
>
> Até o netstat via shell do Junos , confirma porta 123 não está aberta /
> escutando.
>
> Em 9 de novembro de 2016 09:08, Fábio Hernandes <fabio at hernandes.eti.br>
> escreveu:
>
> > Gustavo, recentemente um cliente caiu no teste de quarentena e precisei
> > filtrar snmp e ntp.
> >
> > Como no seu caso, mesmo desativando o processo, continuava reprovado no
> > teste. A solução foi colocar uma regra específica bloqueando isso.
> >
> > Outra coisa é que você precisa colocar a regra liberando ICMP6 acima do
> > BGP.
> >
> > A versão do JunOS é 13.3R6.5.
> >
> > --
> > Fábio R. Hernandes
> > Fone: (17) 99643 6715
> > Skype: hernandes.fabio
> >
> > Em 9 de novembro de 2016 08:46, João Butzke <lista-gter at tbonet.net.br>
> > escreveu:
> >
> > > Não pode ser algo no meio?
> > >
> > >
> > > Em 08/11/2016 23:00, Gustavo Santos escreveu:
> > >
> > >> Obrigado Lucenildo,
> > >>
> > >> Agora pouco inclusive fiz alguns testes, via shell do Junos e até via
> > >> netstat confirma que o ntp no está ativo nem escutando.
> > >>
> > >>
> > >>
> > >> Em terça-feira, 8 de novembro de 2016, Lucenildo Lins Aquino Júnior <
> > >> lucenildo at nic.br> escreveu:
> > >>
> > >> Caro Gustavo,
> > >>>
> > >>> Amanhã vamos fazer uma análise mais elaborada e retornamos o contato
> > >>> pelo seu chamado.
> > >>>
> > >>> De ante mão te informo que no nosso laboratório temos um Juniper e
> não
> > >>> tivemos problemas e ou eventos.
> > >>>
> > >>> Gostaria de ressalta que temos canais diretos de comunicação através
> do
> > >>> portal (http://meu.ix.br) e do telefone +55.11.5509-3550.
> > >>>
> > >>> Grato e a disposição,
> > >>>
> > >>>
> > >>> Em 08/11/16 17:02, Gustavo Santos escreveu:
> > >>>
> > >>>> Pessoal,
> > >>>>
> > >>>> Hoje a tarde, ativando o IX.br SP em um cliente. Esbarrei em um
> > >>>> problema.
> > >>>> Pela primeira vez ativo um cliente via sistema de quarentena
> > automático.
> > >>>> O roteador passa em todos os testes, exceto teste NTP IPv6, pois o
> > >>>>
> > >>> sistema
> > >>>
> > >>>> do Ix.Br informa que o NTP está respondendo em IPv6.
> > >>>>
> > >>>> O estranho é que após este erro, reverifiquei as regras de Firewall
> do
> > >>>> Junos, desativei o serviço NTP do roteador,
> > >>>>
> > >>>> set system processes ntp disable
> > >>>> deactivate system ntp
> > >>>>
> > >>>> Além de um filtro ultra restritivo, só permitindo BGP e ICMP. O
> filtro
> > >>>>
> > >>> foi
> > >>>
> > >>>> testado deixando apenas ICMP ativo , e as sessões de quarentena
> caíram
> > >>>>
> > >>> logo
> > >>>
> > >>>> após ativação do filtro IPv6 na RE.
> > >>>>
> > >>>> A ultima tentativa foi matar o processo NTP do roteador, mas sntpd
> > >>>>
> > >>> retorna
> > >>>
> > >>>> automaticamente. Alguém já passou por este problema?
> > >>>>
> > >>>> Mesmo após todas estas modificações , o sistema de teste acusa erro.
> > >>>> Testes de segurança:
> > >>>> ------------------------------
> > >>>> O seu equipamento está respondendo requisições NTP no IPv6
> > >>>> --
> > >>>> gter list https://eng.registro.br/mailman/listinfo/gter
> > >>>>
> > >>> --
> > >>> NIC.br | Lucenildo Aquino Júnior
> > >>> Analista de Projetos
> > >>> Centro de Estudos e Pesquisas em Tecnologias de Redes e Operações
> > >>> (Ceptro.br)
> > >>> +55 11 5509-3537R.: 4122
> > >>> INOC 22548*552
> > >>> www.nic.br <http://nic.br>
> > >>>
> > >>>
> > >>> --
> > >>> gter list https://eng.registro.br/mailman/listinfo/gter
> > >>>
> > >> --
> > >> gter list https://eng.registro.br/mailman/listinfo/gter
> > >>
> > >
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list