[GTER] NTP como amplificador de ataques

Rubens Kuhl rubensk at gmail.com
Tue Jan 14 18:12:49 -02 2014 

Pessoal, um dos ataques mais recentes acontecendo na Internet é o de
amplificação via NTP, aproveitando de características que o NTP herdava dos
tempos ingênuos do começo da Internet. Para saber se você tem algum máquina
com problema, verifique o site
http://openntpproject.org/

Segue como fazer para resolver isso, numa sugestão da sempre pontual equipe
do ntp.br:

----------------------------------

Sugestões (bastante restritivas para máquinas que são apenas clientes e
não servidores ntp):

- use a última versão estável: 4.2.6p5 (compile à partir do cod. fonte)
- use a seguinte conf (os pontos chave são retirar qualquer linha
"limited", acrescentar "noquery" ou "ignore" à clausula "restrict
default", acrescentar "disable monitor"):

# opcional (sincroniza mais rapido quando desliga/liga):
# "memoria" para o desvio de frequencia do computador
# pode ser necessario criar esse arquivo manualmente com
# o comando touch ntp.drift
driftfile /etc/ntp.drift

# opcional:
# estatisticas do ntp que permitem verificar o historico
# de funcionamento e gerar graficos
statsdir /var/log/ntpstats/
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

# servidores publicos do projeto ntp.br
server a.st1.ntp.br iburst
server b.st1.ntp.br iburst
server c.st1.ntp.br iburst
server d.st1.ntp.br iburst
server gps.ntp.br iburst
server a.ntp.br iburst
server b.ntp.br iburst
server c.ntp.br iburst

# configuracoes de restricao de acesso para todos
# permite consultas de tempo ainda, mas bloqueia tudo mais
# se quiser bloquear consultas de tempo, use o firewall
restrict default noquery notrap nomodify nopeer
restrict -6 default noquery notrap nomodify nopeer

# configuracoes de restricao de acesso para
# seu próprio host, permite queries
restrict 127.0.0.1 notrap nomodify nopeer
restrict -6 ::1 notrap nomodify nopeer

# desabilitar comando monlist (usado em ataques DDoS)
disable monitor

--------------

Uma pessoa com quem comentei isso achou um JunOS com NTP aberto, o que
indica falta de firewall-filter na lo0 para filtrar acessos ao plano de
controle... alguém tem uma sugestão de firewall-filter para este caso ?

More information about the gter mailing list