[GTER] NTP como amplificador de ataques

Caio Zanolla zanolla at gmail.com
Wed Jan 15 10:34:29 -02 2014 

BTW, o cert.br está comunicando os detentores de blocos sobre ips que em
algum momento participaram de ataques.

Atenciosamente,
Caio Zanolla


2014/1/14 Renato Frederick <renato at frederick.eti.br>

> Pessoal,
>
> para quem não recebeu o  Security Advisory do BSD, além da sugestão do
> Rubens e outros colegas, emergencialmente pode se colocar no /etc/ntp.conf
> que vem "padrão" no FreeBSD:
>
> restrict -4 default nomodify nopeer noquery notrap
> restrict -6 default nomodify nopeer noquery notrap
> restrict 127.0.0.1
> restrict -6 ::1
> restrict 127.127.1.0
>
>
> O Luiz Eduardo do cert também me orientou a fazer emergencialmente isto no
> final do .conf, até resolver:
>
>
> disable monitor
>
> e para verificar se o servidor está sem o problema:
>
> "
>
>     $ ntpdc -n -c monlist _IP_DO_SERVIDOR_
>
> O resultado deve ser:
>
>     ***Server reports data not found
> "
>
> no caso do freebsd, conforme o report ensina, atualizar todo o world, etc
> etc e garantir que a nova versão será uma das abaixo:
>
>
> The following list contains the correction revision numbers for each
> affected branch.
>
> Branch/path                                                      Revision
> - ------------------------------------------------------------
> -------------
> stable/8/                                                         r260641
> releng/8.3/                                                       r260647
> releng/8.4/                                                       r260647
> stable/9/                                                         r260641
> releng/9.1/                                                       r260647
> releng/9.2/                                                       r260647
> stable/10/                                                        r260639
> releng/10.0/                                                      r260641
> - ------------------------------------------------------------
> -------------
>
>
>
>
>
>
>
> Em 14/01/14 18:12, Rubens Kuhl escreveu:
>
>  Pessoal, um dos ataques mais recentes acontecendo na Internet é o de
>> amplificação via NTP, aproveitando de características que o NTP herdava
>> dos
>> tempos ingênuos do começo da Internet. Para saber se você tem algum
>> máquina
>> com problema, verifique o site
>> http://openntpproject.org/
>>
>> Segue como fazer para resolver isso, numa sugestão da sempre pontual
>> equipe
>> do ntp.br:
>>
>> ----------------------------------
>>
>> Sugestões (bastante restritivas para máquinas que são apenas clientes e
>> não servidores ntp):
>>
>> - use a última versão estável: 4.2.6p5 (compile à partir do cod. fonte)
>> - use a seguinte conf (os pontos chave são retirar qualquer linha
>> "limited", acrescentar "noquery" ou "ignore" à clausula "restrict
>> default", acrescentar "disable monitor"):
>>
>> # opcional (sincroniza mais rapido quando desliga/liga):
>> # "memoria" para o desvio de frequencia do computador
>> # pode ser necessario criar esse arquivo manualmente com
>> # o comando touch ntp.drift
>> driftfile /etc/ntp.drift
>>
>> # opcional:
>> # estatisticas do ntp que permitem verificar o historico
>> # de funcionamento e gerar graficos
>> statsdir /var/log/ntpstats/
>> statistics loopstats peerstats clockstats
>> filegen loopstats file loopstats type day enable
>> filegen peerstats file peerstats type day enable
>> filegen clockstats file clockstats type day enable
>>
>> # servidores publicos do projeto ntp.br
>> server a.st1.ntp.br iburst
>> server b.st1.ntp.br iburst
>> server c.st1.ntp.br iburst
>> server d.st1.ntp.br iburst
>> server gps.ntp.br iburst
>> server a.ntp.br iburst
>> server b.ntp.br iburst
>> server c.ntp.br iburst
>>
>> # configuracoes de restricao de acesso para todos
>> # permite consultas de tempo ainda, mas bloqueia tudo mais
>> # se quiser bloquear consultas de tempo, use o firewall
>> restrict default noquery notrap nomodify nopeer
>> restrict -6 default noquery notrap nomodify nopeer
>>
>> # configuracoes de restricao de acesso para
>> # seu próprio host, permite queries
>> restrict 127.0.0.1 notrap nomodify nopeer
>> restrict -6 ::1 notrap nomodify nopeer
>>
>> # desabilitar comando monlist (usado em ataques DDoS)
>> disable monitor
>>
>> --------------
>>
>> Uma pessoa com quem comentei isso achou um JunOS com NTP aberto, o que
>> indica falta de firewall-filter na lo0 para filtrar acessos ao plano de
>> controle... alguém tem uma sugestão de firewall-filter para este caso ?
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list