Upload
shinichiro-ohhara
View
565
Download
1
Embed Size (px)
Citation preview
昨今のNTP事情
JANOG35へ行ってきました!
大原 慎一郎Twitter: @ohhara_shiojiri(有)トラストネットワークス 塩尻インキュベーションプラザ108号室
http://shiojiri-osslabo.com/
アジェンダ
● JANOG35
● 昨今のNTPの事情とは何か?
● NTPを悪用したDDoS攻撃
● セキュリティ対策
● ntpdの設定
JANOG35
● 日時: 2015年1月14日(水)〜1月16日(金)● 会場: 静岡県立大学 谷田キャンパス● 主催: 日本ネットワーク・オペレーターズ・グループ
● 詳細: http://www.janog.gr.jp/meeting/janog35/
参加したのは、2日目の1月15日(木)
塩尻から静岡へは、東京や名古屋より遠い。。。
JANOG35
● 草薙駅より無料送迎バスが運行されてました。
JANOG35
JANOG35
昨今のNTPの事情とは何か?
● 脆弱性のあるNTPサーバーが踏み台にされ
て、DDoS攻撃が増加している。
● JANOGでは2014年からワーキンググループで
議論していて、対策と情報収集をしています。
● 脆弱性のあるNTPサーバーの問題。
● 上位で制限(BCP38/84)する影響の問題。
NTPを悪用したDDoS攻撃
● NTPプロトコルはUDPの123番を使用する。
● UDPはTCPと違って送信元を確認しない。
● TCPは3wayハンドシェイクで確立。
● UDPの場合は、送信元アドレスの詐称が安易。
● 送信元アドレスを攻撃先アドレスに詐称する。
NTPを悪用したDDoS攻撃
● 応答情報が多いリクエストをNTPサーバーへ送
信する。
● NTPサーバーは詐称された攻撃先アドレスに応
答を返す!(DoS攻撃)
● 複数のNTPサーバーに対して行われると、攻撃
先アドレスに膨大なトラフィックが届く!!
(DDoS攻撃)
セキュリティ対策
● フィルタリング
○ ファイヤーウォールでUDP123番ポートを制限する。
○ 制限を実施するポイントの問題がある。
○ インフラ側 or サーバー側 ?
○ NTPサービスが利用出来なくなる。
○ 送信元を詐称したアドレスを制限する。(BCP38)
○ 制限を実施するポイントの問題がある。
○ 上位インフラ側 or 下位インフラ側 ?
セキュリティ対策
● クライアント側
○ ntpdの設定次第でサーバーとして機能するので注意。
○ 脆弱性対策された最新バージョンを使用する。
○ ファイヤーウォールでUDP123番ポートを制限する。
○ iptablesを安易に無効にしない。
○ restrictで自ホストのみ許可の設定にする。
■ restrict -4 default noquery
■ restrict 127.0.0.1
ntpdの設定
● 脆弱性対策された最新のバージョンを利用。● バージョン確認方法
○ ntpq -c rv○ 2014年12月19日に4.2.8リリース○ ディストリビューションのパッケージ毎にパッチを確認
● アクセス制限○ restrict
● monlist無効化○ 増幅するパケット量を軽減する。○ disable monitor
ntpdの設定
● その他、セキュリティ以外について
● 64秒×8回=512秒の間隔で上位NTPサーバー
と同期を試みます。
● 同期高速化オプション iburst○ 2秒間隔×8回=16秒
○ server ntp.nict.jp iburst
○ 初回起動時のみ実行し、後は通常間隔