[GTER] Bug no Sistema Automático de Quarentena do IX.br SP ou Junos?

Gustavo Santos gustkiller at gmail.com
Wed Nov 9 14:58:28 -02 2016


Correto.
Porém o mais intrigante é que o serviço NTP não está rodando no roteador.
Está completamente desativado no mesmo. Estou aguardando o "up" no chamado.

Em 9 de novembro de 2016 13:00, Rubens Kuhl <rubensk at gmail.com> escreveu:

> Se filtrado significa retornando um ICMP UNREACHABLE, pode não ser a melhor
> opção nem do ponto de vista de processamento no roteador nem do ponto de
> vista de comportamento na rede, pois a resposta pode estar sendo enviada
> para um IP que na requisição original era fonte que é spoofing...
>
>
> Rubens
>
>
> 2016-11-09 20:34 GMT+05:30 Gustavo Santos <gustkiller at gmail.com>:
>
> > Lembrei de fazer o obvio e o resultado foi o que imaginei. Realmente está
> > filtrado ( teste para IP público v6 de loopback do roteador, vou
> prosseguir
> > com o chamado no Nic.br.
> >
> >
> > Scanning Host: xxxxxxxxx ...
> > UDP6 Port 1 FILTERED
> > UDP6 Port 7 *echo* FILTERED
> > UDP6 Port 13 *daytime* FILTERED
> > UDP6 Port 49 *tacacs* FILTERED
> > UDP6 Port 53 *domain* FILTERED
> > UDP6 Port 63 FILTERED
> > UDP6 Port 67 *bootps* FILTERED
> > UDP6 Port 68 *bootpc* FILTERED
> > UDP6 Port 69 *tftp* FILTERED
> > UDP6 Port 88 *kerberos* FILTERED
> > UDP6 Port 111 *sunrpc* FILTERED
> > UDP6 Port 123 *ntp* FILTERED
> > UDP6 Port 137 *netbios-ns* FILTERED
> > UDP6 Port 138 *netbios-dgm* FILTERED
> > UDP6 Port 161 *snmp* FILTERED
> > UDP6 Port 192 FILTERED
> > UDP6 Port 389 *ldap* FILTERED
> > UDP6 Port 427 *svrloc* FILTERED
> > UDP6 Port 500 *isakmp* FILTERED
> > UDP6 Port 514 *syslog* FILTERED
> > UDP6 Port 546 *dhcpv6-client* FILTERED
> > UDP6 Port 547 *dhcpv6-server* FILTERED
> > UDP6 Port 623 *asf-rmcp* FILTERED
> > UDP6 Port 626 FILTERED
> > UDP6 Port 901 FILTERED
> > UDP6 Port 1026 FILTERED
> > UDP6 Port 1194 *openvpn* FILTERED
> > UDP6 Port 1214 *kazaa* FILTERED
> > UDP6 Port 1433 *ms-sql-s* FILTERED
> > UDP6 Port 1434 *ms-sql-m* FILTERED
> > UDP6 Port 1701 *l2f* FILTERED
> > UDP6 Port 1900 FILTERED
> > UDP6 Port 2007 FILTERED
> > UDP6 Port 2049 *nfs* FILTERED
> > UDP6 Port 3031 FILTERED
> > UDP6 Port 3389 FILTERED
> > UDP6 Port 3478 FILTERED
> > UDP6 Port 3544 FILTERED
> > UDP6 Port 3659 FILTERED
> > UDP6 Port 4500 FILTERED
> > UDP6 Port 4665 FILTERED
> > UDP6 Port 4672 FILTERED
> > UDP6 Port 4899 *radmin-port* FILTERED
> > UDP6 Port 5060 *sip* FILTERED
> > UDP6 Port 5072 FILTERED
> > UDP6 Port 5246 FILTERED
> > UDP6 Port 5353 *mdns* FILTERED
> > UDP6 Port 5678 FILTERED
> > UDP6 Port 6000 *x11* FILTERED
> > UDP6 Port 6073 FILTERED
> > UDP6 Port 6257 FILTERED
> > UDP6 Port 6346 *gnutella-svc* FILTERED
> > UDP6 Port 6801 FILTERED
> > UDP6 Port 6901 FILTERED
> > UDP6 Port 9100 FILTERED
> > UDP6 Port 9898 FILTERED
> > UDP6 Port 10000 FILTERED
> > UDP6 Port 10080 *amanda* FILTERED
> > UDP6 Port 12345 FILTERED
> > UDP6 Port 26000 FILTERED
> >
> > Em 9 de novembro de 2016 09:44, Gustavo Santos <gustkiller at gmail.com>
> > escreveu:
> >
> > > Fábio,
> > > Por aqui o único erro que persiste é o de NTP v6.
> > > Segue o que já foi feito:
> > > - Filtro na routing engine e na propria Vlan IPv6 permitindo apenas
> > ICMPv6
> > > e BGP e negando  todo o resto.
> > > - Desativação do NTP do roteador
> > > - Desativação do Processo NTP do roteador
> > > - Kill -9 no processo NTP do roteador via shell
> > >
> > > Até o netstat via shell do Junos , confirma porta 123 não está aberta /
> > > escutando.
> > >
> > > Em 9 de novembro de 2016 09:08, Fábio Hernandes <
> fabio at hernandes.eti.br>
> > > escreveu:
> > >
> > >> Gustavo, recentemente um cliente caiu no teste de quarentena e
> precisei
> > >> filtrar snmp e ntp.
> > >>
> > >> Como no seu caso, mesmo desativando o processo, continuava reprovado
> no
> > >> teste. A solução foi colocar uma regra específica bloqueando isso.
> > >>
> > >> Outra coisa é que você precisa colocar a regra liberando ICMP6 acima
> do
> > >> BGP.
> > >>
> > >> A versão do JunOS é 13.3R6.5.
> > >>
> > >> --
> > >> Fábio R. Hernandes
> > >> Fone: (17) 99643 6715
> > >> Skype: hernandes.fabio
> > >>
> > >> Em 9 de novembro de 2016 08:46, João Butzke <lista-gter at tbonet.net.br
> >
> > >> escreveu:
> > >>
> > >> > Não pode ser algo no meio?
> > >> >
> > >> >
> > >> > Em 08/11/2016 23:00, Gustavo Santos escreveu:
> > >> >
> > >> >> Obrigado Lucenildo,
> > >> >>
> > >> >> Agora  pouco inclusive fiz alguns testes, via shell do Junos e até
> > via
> > >> >> netstat confirma que o ntp no está ativo nem escutando.
> > >> >>
> > >> >>
> > >> >>
> > >> >> Em terça-feira, 8 de novembro de 2016, Lucenildo Lins Aquino
> Júnior <
> > >> >> lucenildo at nic.br> escreveu:
> > >> >>
> > >> >> Caro Gustavo,
> > >> >>>
> > >> >>> Amanhã vamos fazer uma análise mais elaborada e retornamos o
> contato
> > >> >>> pelo seu chamado.
> > >> >>>
> > >> >>> De ante mão te informo que no nosso laboratório temos um Juniper e
> > não
> > >> >>> tivemos problemas e ou eventos.
> > >> >>>
> > >> >>> Gostaria de ressalta que temos canais diretos de comunicação
> através
> > >> do
> > >> >>> portal (http://meu.ix.br) e do telefone +55.11.5509-3550.
> > >> >>>
> > >> >>> Grato e a disposição,
> > >> >>>
> > >> >>>
> > >> >>> Em 08/11/16 17:02, Gustavo Santos escreveu:
> > >> >>>
> > >> >>>> Pessoal,
> > >> >>>>
> > >> >>>> Hoje a tarde, ativando o IX.br SP em um cliente. Esbarrei em um
> > >> >>>> problema.
> > >> >>>> Pela primeira vez ativo um cliente via sistema de quarentena
> > >> automático.
> > >> >>>> O roteador passa em todos os testes, exceto teste NTP IPv6, pois
> o
> > >> >>>>
> > >> >>> sistema
> > >> >>>
> > >> >>>> do Ix.Br informa que o NTP está respondendo em IPv6.
> > >> >>>>
> > >> >>>> O estranho é que após este erro, reverifiquei as regras de
> Firewall
> > >> do
> > >> >>>> Junos, desativei o serviço NTP do roteador,
> > >> >>>>
> > >> >>>> set system processes ntp disable
> > >> >>>> deactivate system ntp
> > >> >>>>
> > >> >>>> Além de um filtro ultra restritivo, só permitindo BGP e ICMP. O
> > >> filtro
> > >> >>>>
> > >> >>> foi
> > >> >>>
> > >> >>>> testado deixando apenas ICMP ativo , e as sessões de quarentena
> > >> caíram
> > >> >>>>
> > >> >>> logo
> > >> >>>
> > >> >>>> após ativação do filtro IPv6 na RE.
> > >> >>>>
> > >> >>>> A ultima tentativa foi matar o processo NTP do roteador, mas
> sntpd
> > >> >>>>
> > >> >>> retorna
> > >> >>>
> > >> >>>> automaticamente.  Alguém já passou por este problema?
> > >> >>>>
> > >> >>>> Mesmo após todas estas modificações , o sistema de teste acusa
> > erro.
> > >> >>>> Testes de segurança:
> > >> >>>> ------------------------------
> > >> >>>> O seu equipamento está respondendo requisições NTP no IPv6
> > >> >>>> --
> > >> >>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> > >> >>>>
> > >> >>> --
> > >> >>> NIC.br | Lucenildo Aquino Júnior
> > >> >>> Analista de Projetos
> > >> >>> Centro de Estudos e Pesquisas em Tecnologias de Redes e Operações
> > >> >>> (Ceptro.br)
> > >> >>> +55 11 5509-3537R.: 4122
> > >> >>> INOC 22548*552
> > >> >>> www.nic.br <http://nic.br>
> > >> >>>
> > >> >>>
> > >> >>> --
> > >> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> > >> >>>
> > >> >> --
> > >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > >> >>
> > >> >
> > >> > --
> > >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >> >
> > >> --
> > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > >>
> > >
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list