[FUG-BR] FreeBSD 10.2 x ntpd

Eduardo Lemos de Sa eduardo.lemosdesa em gmail.com
Sábado Outubro 10 18:10:39 BRT 2015


Caros Paulo e Cleiton

2015-10-10 8:16 GMT-03:00 Paulo Henrique - BSDs Brasil <
paulo.rddck em bsd.com.br>:

> Opa Eduardo como está, respostas no final do e-mail !!
>
>
> Em 10/10/2015 07:52, Eduardo Lemos de Sa escreveu:
>
>> Oi Paulo
>>
>> Obrigado por sua atenção (meus comentários vêm no final deste email).
>>
>> 2015-10-09 23:24 GMT-03:00 Paulo Olivier Cavalcanti <
>> procavalcanti em gmail.com
>>
>>> :
>>> Em 09/10/2015 22:02, Eduardo Lemos de Sa escreveu:
>>>
>>>> Caríssimos
>>>>
>>>> Eu tenho várias máquinas rodando o 10.2-RELEASE (atualizadas
>>>>
>>> semanalmente).
>>>
>>>> Para a minha surpresa, recebi esta mensagem do CAIS (Centro de
>>>>
>>> Atendimento
>>>
>>>> a Incidentes de Seguranca):
>>>> [...]
>>>>
>>>>
>>>> *Por favor, alguém tem algum comentário a fazer sobre isto?*
>>>>
>>>>
>>>> *Agradeço desde já a atenção*
>>>>
>>>>
>>>> *Um abraço*
>>>>
>>>>
>>>>
>>>> *Edu*
>>>>
>>>> A versão do ntpd que vem com o 10.2 é a 4.2.8p3-a (1). Portanto ela não
>>> está vulnerável, segundo o CAIS.
>>>
>>> Rodei o comando para o IP do servidor do meu trabalho e não retornou
>>> qualquer mensagem. Qual versão vc tá usando do ntpd?
>>>
>>>
>>> Isto é o que eu achei mais estranho:
>>
>>
>> ntpd --version
>>
>> ntpd 4.2.8p3-a (1)
>>
>>
>> o que significa que não está vulnerável, mas o ntpq -c rv ipdamaquina não
>> retorna timeout. Todas as outras 4 máquinas rodam a mesma versão do
>> FreeBSD
>> e do ntpd, porém só reclamaram de uma única máquina !?!?
>>
>> Outra descoberta interessante: eu habilitei, para testes, o ntpdate - e
>> desabilitei o ntpd . Como eu acredito que o ntpdate não lê as
>> configurações
>> no ntp.conf, eu obtive dois resultados interessantes:
>>
>> 1) o ntpq -c rv ipdamaquna retorna timeout
>> 2) o ntpdate me retorna:
>>
>> Setting date via ntp.
>> 10 Oct 07:46:21 ntpdate[88545]: step time server 200.160.7.193 offset
>> 0.000012 sec
>>
>> O que não seria estranho se, no momento do boot, eu não recebesse
>> mensagens
>> dizendo que alguém (o Centro de Computação Eletrônica da minha
>> universidade) bloqueou o acesso à rede na porta usada pelo ntp. Logo, os
>> horários são sempre desatualizados.
>>
>> Um abraço e, novamente, obrigado pela atenção
>>
>> Edu
>>
>>
> Bom creio que você está se confundindo quanto ao ntpd e o ntpdupdate.
> Devido a utilização de daemons ntpd em ataques DDOS de amplificação de
> ntp/udp o recomendável é ter configurações no firewall para que apenas um
> ou daemons locais tenha acesso aos ips dos servidores do pool da NIC.br, as
> demais maquinas devem utilizar esses dois hosts com permissão de acesso aos
> pools da NIC.br para sincronizar os seus relógios.
>
> Em resumo o recomendado seria:
>
> Maquina X e Y rodam o ntpd para sincronizar com o NIC.br. ( aqui usamos o
> ntpd )
> Maquina A, B, C ... utilizam o ntpdate apontando para as maquinas X e Y
> para sincronizar os seus relógios.
>
> A diferença de horário ficará muito baixa, quase que despresivel entre A,
> B, C ... e as maquinas do NIC.br, com relação a segurança a possivilidade
> de alguém usar a sua infraestrutura para efetuar amplificação de DDoS
> UDP/ntp será sanada.
>
> Att.
>

Agradeço ao Paulo pela explicação. De qualquer modo, se eu inicio o nptdate
ao invés do ntpd, os problemas desaparecem. Fica a dica se mais alguém
encontrar este problemas.

Cleiton, eu te enviei um email onde segue o texto completo enviado pelo
CAIS. Espero que ele te seja útil.

Um abraço

Eduardo



> --
>>
>>> http://about.me/paulocavalcanti
>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>>
>>
> --
> :UNI><BSD:
>
> Paulo Henrique.
> UnixBSD Tecnologia
> Segurança em Tecnologia da Informação.
> Fone: (21) 96713-5042 / (21) 3708-9388
> Site: https://www.unixbsd.com.br
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>


-- 
Eduardo Lemos de Sa
Associated Professor Level 4
Dep. Quimica da Universidade Federal do Paraná
fone: +55(41)3361-3300
fax:   +55(41)3361-3186


Mais detalhes sobre a lista de discussão freebsd