[GTER] NTP como amplificador de ataques
Renato Frederick
renato at frederick.eti.br
Tue Jan 14 22:06:18 -02 2014
Pessoal,
para quem não recebeu o Security Advisory do BSD, além da sugestão do
Rubens e outros colegas, emergencialmente pode se colocar no
/etc/ntp.conf que vem "padrão" no FreeBSD:
restrict -4 default nomodify nopeer noquery notrap
restrict -6 default nomodify nopeer noquery notrap
restrict 127.0.0.1
restrict -6 ::1
restrict 127.127.1.0
O Luiz Eduardo do cert também me orientou a fazer emergencialmente isto
no final do .conf, até resolver:
disable monitor
e para verificar se o servidor está sem o problema:
"
$ ntpdc -n -c monlist _IP_DO_SERVIDOR_
O resultado deve ser:
***Server reports data not found
"
no caso do freebsd, conforme o report ensina, atualizar todo o world,
etc etc e garantir que a nova versão será uma das abaixo:
The following list contains the correction revision numbers for each
affected branch.
Branch/path Revision
- -------------------------------------------------------------------------
stable/8/ r260641
releng/8.3/ r260647
releng/8.4/ r260647
stable/9/ r260641
releng/9.1/ r260647
releng/9.2/ r260647
stable/10/ r260639
releng/10.0/ r260641
- -------------------------------------------------------------------------
Em 14/01/14 18:12, Rubens Kuhl escreveu:
> Pessoal, um dos ataques mais recentes acontecendo na Internet é o de
> amplificação via NTP, aproveitando de características que o NTP herdava dos
> tempos ingênuos do começo da Internet. Para saber se você tem algum máquina
> com problema, verifique o site
> http://openntpproject.org/
>
> Segue como fazer para resolver isso, numa sugestão da sempre pontual equipe
> do ntp.br:
>
> ----------------------------------
>
> Sugestões (bastante restritivas para máquinas que são apenas clientes e
> não servidores ntp):
>
> - use a última versão estável: 4.2.6p5 (compile à partir do cod. fonte)
> - use a seguinte conf (os pontos chave são retirar qualquer linha
> "limited", acrescentar "noquery" ou "ignore" à clausula "restrict
> default", acrescentar "disable monitor"):
>
> # opcional (sincroniza mais rapido quando desliga/liga):
> # "memoria" para o desvio de frequencia do computador
> # pode ser necessario criar esse arquivo manualmente com
> # o comando touch ntp.drift
> driftfile /etc/ntp.drift
>
> # opcional:
> # estatisticas do ntp que permitem verificar o historico
> # de funcionamento e gerar graficos
> statsdir /var/log/ntpstats/
> statistics loopstats peerstats clockstats
> filegen loopstats file loopstats type day enable
> filegen peerstats file peerstats type day enable
> filegen clockstats file clockstats type day enable
>
> # servidores publicos do projeto ntp.br
> server a.st1.ntp.br iburst
> server b.st1.ntp.br iburst
> server c.st1.ntp.br iburst
> server d.st1.ntp.br iburst
> server gps.ntp.br iburst
> server a.ntp.br iburst
> server b.ntp.br iburst
> server c.ntp.br iburst
>
> # configuracoes de restricao de acesso para todos
> # permite consultas de tempo ainda, mas bloqueia tudo mais
> # se quiser bloquear consultas de tempo, use o firewall
> restrict default noquery notrap nomodify nopeer
> restrict -6 default noquery notrap nomodify nopeer
>
> # configuracoes de restricao de acesso para
> # seu próprio host, permite queries
> restrict 127.0.0.1 notrap nomodify nopeer
> restrict -6 ::1 notrap nomodify nopeer
>
> # desabilitar comando monlist (usado em ataques DDoS)
> disable monitor
>
> --------------
>
> Uma pessoa com quem comentei isso achou um JunOS com NTP aberto, o que
> indica falta de firewall-filter na lo0 para filtrar acessos ao plano de
> controle... alguém tem uma sugestão de firewall-filter para este caso ?
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list