[FUG-BR] FreeBSD 10.2 x ntpd
Paulo Henrique - BSDs Brasil
paulo.rddck em bsd.com.br
Sábado Outubro 10 08:16:55 BRT 2015
Opa Eduardo como está, respostas no final do e-mail !!
Em 10/10/2015 07:52, Eduardo Lemos de Sa escreveu:
> Oi Paulo
>
> Obrigado por sua atenção (meus comentários vêm no final deste email).
>
> 2015-10-09 23:24 GMT-03:00 Paulo Olivier Cavalcanti <procavalcanti em gmail.com
>> :
>> Em 09/10/2015 22:02, Eduardo Lemos de Sa escreveu:
>>> Caríssimos
>>>
>>> Eu tenho várias máquinas rodando o 10.2-RELEASE (atualizadas
>> semanalmente).
>>> Para a minha surpresa, recebi esta mensagem do CAIS (Centro de
>> Atendimento
>>> a Incidentes de Seguranca):
>>> [...]
>>>
>>>
>>> *Por favor, alguém tem algum comentário a fazer sobre isto?*
>>>
>>>
>>> *Agradeço desde já a atenção*
>>>
>>>
>>> *Um abraço*
>>>
>>>
>>>
>>> *Edu*
>>>
>> A versão do ntpd que vem com o 10.2 é a 4.2.8p3-a (1). Portanto ela não
>> está vulnerável, segundo o CAIS.
>>
>> Rodei o comando para o IP do servidor do meu trabalho e não retornou
>> qualquer mensagem. Qual versão vc tá usando do ntpd?
>>
>>
> Isto é o que eu achei mais estranho:
>
>
> ntpd --version
>
> ntpd 4.2.8p3-a (1)
>
>
> o que significa que não está vulnerável, mas o ntpq -c rv ipdamaquina não
> retorna timeout. Todas as outras 4 máquinas rodam a mesma versão do FreeBSD
> e do ntpd, porém só reclamaram de uma única máquina !?!?
>
> Outra descoberta interessante: eu habilitei, para testes, o ntpdate - e
> desabilitei o ntpd . Como eu acredito que o ntpdate não lê as configurações
> no ntp.conf, eu obtive dois resultados interessantes:
>
> 1) o ntpq -c rv ipdamaquna retorna timeout
> 2) o ntpdate me retorna:
>
> Setting date via ntp.
> 10 Oct 07:46:21 ntpdate[88545]: step time server 200.160.7.193 offset
> 0.000012 sec
>
> O que não seria estranho se, no momento do boot, eu não recebesse mensagens
> dizendo que alguém (o Centro de Computação Eletrônica da minha
> universidade) bloqueou o acesso à rede na porta usada pelo ntp. Logo, os
> horários são sempre desatualizados.
>
> Um abraço e, novamente, obrigado pela atenção
>
> Edu
>
Bom creio que você está se confundindo quanto ao ntpd e o ntpdupdate.
Devido a utilização de daemons ntpd em ataques DDOS de amplificação de
ntp/udp o recomendável é ter configurações no firewall para que apenas
um ou daemons locais tenha acesso aos ips dos servidores do pool da
NIC.br, as demais maquinas devem utilizar esses dois hosts com permissão
de acesso aos pools da NIC.br para sincronizar os seus relógios.
Em resumo o recomendado seria:
Maquina X e Y rodam o ntpd para sincronizar com o NIC.br. ( aqui usamos
o ntpd )
Maquina A, B, C ... utilizam o ntpdate apontando para as maquinas X e Y
para sincronizar os seus relógios.
A diferença de horário ficará muito baixa, quase que despresivel entre
A, B, C ... e as maquinas do NIC.br, com relação a segurança a
possivilidade de alguém usar a sua infraestrutura para efetuar
amplificação de DDoS UDP/ntp será sanada.
Att.
> --
>> http://about.me/paulocavalcanti
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
--
:UNI><BSD:
Paulo Henrique.
UnixBSD Tecnologia
Segurança em Tecnologia da Informação.
Fone: (21) 96713-5042 / (21) 3708-9388
Site: https://www.unixbsd.com.br
-------------- Próxima Parte ----------
Um anexo não-texto foi limpo...
Nome: paulo_rddck.vcf
Tipo: text/x-vcard
Tamanho: 212 bytes
Descrição: não disponível
URL: <http://www.fug.com.br/historico/html/freebsd/attachments/20151010/2c217d30/attachment.vcf>
Mais detalhes sobre a lista de discussão freebsd