[FUG-BR] FreeBSD 10.2 x ntpd

Eduardo Lemos de Sa eduardo.lemosdesa em gmail.com
Sexta Outubro 9 22:02:55 BRT 2015


Caríssimos

Eu tenho várias máquinas rodando o 10.2-RELEASE (atualizadas semanalmente).
Para a minha surpresa, recebi esta mensagem do CAIS (Centro de Atendimento
a Incidentes de Seguranca):


*********************************************************************************************
Prezados,
Foram identificados servidores NTP vulneráveis que podem ser utilizados em
ataques de negação de serviço (DDoS). Os servidores abaixo estão
respondendo consultas NTP Mode 6 para READVAR, consultas desse tipo podem
retornar dados como: Versão do NTP, Versão do sistema operacional entre
outros.Embora, não seja tao ruim quanto a consulta Modo 7 para MONLIST, as
consultas para READVAR podem fornecer normalmente em torno de 30x
amplificação. O CAIS recomenda que ao menos uma das soluções abaixo sejam
executadas para proteger seu servidor NTP contra ataques desse tipo. •
Atualizar o servidor NTP para a versão "NTP version 4.2.7" ou mais recente
• Seguir as recomendações do CAIS para Hardening em servidores NTP -
Juniper https://sgis.rnp.br/wiki/80/plugin/attachments/download/33/ - Cisco
https://sgis.rnp.br/wiki/79/plugin/attachments/download/34/ - Sistemas
Linux https://sgis.rnp.br/wiki/81/plugin/attachments/download/35/ • Seguir
as recomendações de Hardening do Team-Cymru
http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html
Para verificar se o seu servidor está vulnerável, execute as rotinas
abaixo: 1 - Instalar o NTPQ em uma máquina fora da sua rede 2 - Executar a
consulta READVAR # ntpq -c rv "IP" Se a consulta retornar algo diferente de
"timeout" o seu servidor está vulnerável, dessa forma, é necessário seguir
as recomendações acima para configurar seu servidor de forma segura. Mais
Informações: https://ntpscan.shadowserver.org/ Documentação para
configuração segura de servidores NTP pelo CAIS
https://sgis.rnp.br/wiki/06hardening/Ntp/ Favor investigar, tomar
providências e responder ao reclamante, com cópia para o CAIS.


*************************************************************

Eu fiz o teste com o comando


ntpq -c rv ipdamaquinaasertestada

e recebi inicialmente os valores e não o "timeout"

O mesmo comando quando testado em máquinas linux (que eu não atualizo por
não confiar muito nos mecanismos de atualização) retornam com timeout.

Ou seja, como pode o FreeBSD, mais seguro e atualizado do que uma versão
linux estar apresentando este problema? Será que isto é realmente um
problema (as máquinas rodam o ntpd, mas creio que elas não são servidoras
de ntp e sim somente clientes)?

Eu resolvi a questão, para deixar o pessoal do CAIS satisfeito,












*colocando estas linhas no final do /etc/ntp.conf: by default act only as a
basic NTP clientrestrict -4 default nomodify nopeer noquery notraprestrict
-6 default nomodify nopeer noquery notrap# allow NTP messages from the
loopback address, useful for debuggingrestrict 127.0.0.1restrict ::1#
server(s) we time sync toserver 192.0.2.1server 2001:DB8::1server
time.example.net <http://time.example.net>*


*Por favor, alguém tem algum comentário a fazer sobre isto?*


*Agradeço desde já a atenção*


*Um abraço*



*Edu*

-- 
Eduardo Lemos de Sa
Associated Professor Level 4
Dep. Quimica da Universidade Federal do Paraná
fone: +55(41)3361-3300
fax:   +55(41)3361-3186


Mais detalhes sobre a lista de discussão freebsd