昨今のNTP事情

JANOG35へ行ってきました！

大原 慎一郎Twitter: @ohhara_shiojiri（有）トラストネットワークス　塩尻インキュベーションプラザ１０８号室

http://shiojiri-osslabo.com/

アジェンダ

● JANOG３５

● 昨今のNTPの事情とは何か？

● NTPを悪用したDDoS攻撃

● セキュリティ対策

● ntpdの設定

JANOG35

● 日時：　2015年1月14日(水)〜1月16日(金)● 会場：　静岡県立大学　谷田キャンパス● 主催：　日本ネットワーク・オペレーターズ・グループ

● 詳細：　http://www.janog.gr.jp/meeting/janog35/

参加したのは、２日目の1月15日(木)

塩尻から静岡へは、東京や名古屋より遠い。。。

JANOG35

● 草薙駅より無料送迎バスが運行されてました。

JANOG35

JANOG35

昨今のNTPの事情とは何か？

● 脆弱性のあるNTPサーバーが踏み台にされ

て、DDoS攻撃が増加している。

● JANOGでは2014年からワーキンググループで

議論していて、対策と情報収集をしています。

● 脆弱性のあるNTPサーバーの問題。

● 上位で制限(BCP38/84)する影響の問題。

NTPを悪用したDDoS攻撃

● NTPプロトコルはUDPの123番を使用する。

● UDPはTCPと違って送信元を確認しない。

● TCPは3wayハンドシェイクで確立。

● UDPの場合は、送信元アドレスの詐称が安易。

● 送信元アドレスを攻撃先アドレスに詐称する。

NTPを悪用したDDoS攻撃

● 応答情報が多いリクエストをNTPサーバーへ送

信する。

● NTPサーバーは詐称された攻撃先アドレスに応

答を返す！(DoS攻撃)

● 複数のNTPサーバーに対して行われると、攻撃

先アドレスに膨大なトラフィックが届く！！

(DDoS攻撃)

セキュリティ対策

● フィルタリング

○ ファイヤーウォールでUDP123番ポートを制限する。

○ 制限を実施するポイントの問題がある。

○ インフラ側　or　サーバー側　？

○ NTPサービスが利用出来なくなる。

○ 送信元を詐称したアドレスを制限する。(BCP38)

○ 制限を実施するポイントの問題がある。

○ 上位インフラ側　or　下位インフラ側　？

セキュリティ対策

● クライアント側

○ ntpdの設定次第でサーバーとして機能するので注意。

○ 脆弱性対策された最新バージョンを使用する。

○ ファイヤーウォールでUDP123番ポートを制限する。

○ iptablesを安易に無効にしない。

○ restrictで自ホストのみ許可の設定にする。

■ restrict -4 default noquery

■ restrict 127.0.0.1

ntpdの設定

● 脆弱性対策された最新のバージョンを利用。● バージョン確認方法

○ ntpq -c rv○ 2014年12月19日に4.2.8リリース○ ディストリビューションのパッケージ毎にパッチを確認

● アクセス制限○ restrict

● monlist無効化○ 増幅するパケット量を軽減する。○ disable monitor

ntpdの設定

● その他、セキュリティ以外について

● 64秒×８回=512秒の間隔で上位NTPサーバー

と同期を試みます。

● 同期高速化オプション　iburst○ 2秒間隔×８回=16秒

○ server ntp.nict.jp iburst

○ 初回起動時のみ実行し、後は通常間隔