NTPの脆弱性について確認してみる(Debian)

さくらインターネットから「NTPの脆弱性について」のお知らせがあったので、自分のサーバ(Debian)の設定も確認してみようかと思います。
NTP(システムの内部時計を正しい時間に同期させるサーバープログラム)のリフレクション攻撃が多発しているようです。
DDoSにつながる脆弱性が存在するのはntpd 4.2.7p26よりも前のバージョンで、安定版の4.2.6.xは全て、脆弱性の影響を受けるらしい。
普通にNTPをインストールすると安定版になるので、全てが対象となってしまうが、/etc/ntp.confのデフォルトの設定では「localhost」のみから応答する設定になっているはず(Ubuntu13.10、Debian7ではそうなっている)
あえてオープンNTPサーバ(外部公開用)として設定している場合は「ntpd 4.2.7p26」以上のバージョンに変更する必要がある。

写真2

まずは、リフレクション攻撃を簡単に言うと

攻撃者のIPアドレス:11.11.11.11
攻撃者は自分のIPアドレスを:22.22.22.22と偽装し、NTPに問い合わせ

NTPサーバ
要求された相手に対して結果を返す

相手先のIPアドレス:22.22.22.22
何も要求してないのに変なパケット飛んでくる
みたいな感じ

NTPはUDPでポート:123番を使って通信し、
UDPは確認応答をしないで一方的に送りつけるだけなのでIP偽装が比較的簡単にできてしまう。

————————————————————–

安定版なのはわかっているけど、バージョン確認してみる

ntpq -c rv

 

 設定ファイルを見てみる

/etc/ntp.confの一部を抜粋

——————————————-

restrict -4 default kod notrap nomodify nopeer noquery

restrict -6 default kod notrap nomodify nopeer noquery

restrict 127.0.0.1

restrict ::1

ローカルからしか受け付けないようになっている

 

 

monlistが応答するか確認(localhost)=これは応答して良い

ntpdc -c monlist localhost

remote address          port local address      count m ver rstr avgint  lstint
===============================================================================
aaaaa.aaaaa.aa           xxx xxx.xxx.xx.xx        xxx x x    xxx    xxx     xxx
aaaaa.aaaaa.aa           xxx xxx.xxx.xx.xx        xxx x x    xxx    xxx     xxx
aaaaa.aaaaa.aa           xxx xxx.xxx.xx.xx        xxx x x    xxx    xxx     xxx

 monlistが応答するか確認(サーバーのアドレス指定)=これは応答する設定にしてない

(Ubuntu(ローカル)からDebian(サーバ)に向けて確認)

ntpdc -c monlist xxx.xxx.xxx.xxx.com

***Request timed out

 

 

もし、「monlistが応答するか確認(サーバーのアドレス指定)」で応答した場合は下記のような対応が必要

monlistを無効化は/etc/ntp.confの最後に下記の1行を追加

——————-

disable monitor

または、さくらインターネットが提示してくれているようにローカルからのみ受け付けるように下記を追加する

——————-

restrict default ignore
restrict -6 default ignore
restrict 127.0.0.1
restrict ntp1.sakura.ad.jp kod nomodify notrap nopeer noquery
server ntp1.sakura.ad.jp

 

追加したらNTPを再起動する

/etc/init.d/ntpd restart

 

以下はメール

———————————————————————-

平素より弊社のサービスをご利用いただき誠にありがとうございます。

以下のサービスにおきまして、NTP(Network Time Protocol)の脆弱性を
悪用したNTPリフレクション攻撃の事象が多く確認されており、コンピュータ
セキュリティ関連の情報発信などを行うJPCERTコーディネーションセンター
からも注意喚起が発表されています。

▼対象サービス
・さくらのVPS
・さくらのクラウド
・さくらの専用サーバ
・専用サーバ
・専用サーバPlatform

▼JPCERTコーディネーションセンター
「ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起」
http://www.jpcert.or.jp/at/2014/at140001.html

お客様におかれましては、ntpdへの適切なアクセス制限が設定されているかを
今一度ご確認いただき、不正に利用されないよう対策をお願いいたします。
なお、対策の一例として詳細情報をご案内いたしますのでご参照ください。
■対策方法の一例

・ntpdの設定変更
ntp.conf 内に「restrict」を追加してアクセス制限を行う
「disable monitor」を追加して monlist 機能を無効にする

[restrict の設定例]
restrict default ignore
restrict -6 default ignore
restrict 127.0.0.1
restrict ntp1.sakura.ad.jp kod nomodify notrap nopeer noquery
server ntp1.sakura.ad.jp

・NTPを使用されていない場合は、NTPの停止または削除

さくらインターネットでは、今後もよりよいサービスの提供が行えますよう、
精一杯努めて参ります。

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です