NTP

A fines del 2013 se comenzó a popularizar un ataque de amplificación contra servidores NTP. Algunas organizaciones tienen instalado el servicio NTP para mantener en hora sus equipos. Sin embargo si tienen una versión desactualizada de NTP pueden ser objetos de este ataque.

Este ataque busca servidores NTP que permitan realizar una pregunta que implique una respuesta muy grande y que esta respuesta sea enviada a un objetivo a atacar.

Información de este aviso puede ser encontrada en: http://www.publicsafety.gc.ca/cnt/rsrcs/cybr-ctr/2014/av14-001-eng.aspx

Cómo eliminar este ataque?

Existen varias vertientes que pueden ser utilizadas para mitigar este ataque:

  1. Apagar el servicio de ntp si no se usa.
    1. En el caso de Linux podemos hacer:
      1. service ntpd stop (o systemctl stop ntpd)
      2. chkconfig ntpd off (o systemctl disable ntpd)
    2. En caso de ser CISCO podemos hacer:
      1. disable monitor restrict default noquery
      2. disable monitor restrict localhost (esto último para permitir el uso de monitorización sólo a redes internas, de ser necesario)
  2. Proteger el servicio de NTP (puerto 123/UDP) detrás de un firewall: que solamente equipos dentro de las redes permitidas puedan acceder a él (idealmente solamente equipos de la red lan podrian acceder a él).
  3. Actualizar el servicio NTP: Existe una actualización a este problema desde el 2010 que hace al servicio NTP inmune a ataques.
  4. Reconfigurar el servicio NTP para prohibir queries, ejemplo de configuración de /etc/ntp.conf

driftfile /var/lib/ntp/drift
restrict -4 default kod limited nomodify notrap nopeer noquery
restrict -6 default kod limited nomodify notrap nopeer noquery
restrict -4 127.0.0.1
restrict -6 ::1
discard average 4 minimum 2
server time.chu.nrc.ca iburst
server time.nist.gov iburst
server ntp.shoa.cl iburst
server sesku.planeacion.net iburst
server inocar.ntp.ec iburst
includefile /etc/ntp/crypto/pw
keys /etc/ntp/keys

Esta última forma es la más adecuada si es que requerimos mantener el servicio de ntp activo, en CentOS simplemente ejecutamos yum update y nos quedará el servicio de NTP

Para mayor información pueden ver :

http://support.ntp.org/bin/view/Support/AccessRestrictions

Cómo verificar que esté parcheado nuestro ntp?

Podemos verificar siguiendo estas instrucciones

ntpdc -n -c monlist laIP

ntpq -c rv laIP

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.