昨今のNtp事情

Transcript

• 1. 昨今のNTP事情 JANOG35へ行ってきました！ 大原 慎一郎 Twitter: @ohhara_shiojiri （有）トラストネットワークス　塩尻インキュベーションプラザ１０８号室 http://shiojiri-osslabo.com/
• 2. アジェンダ ● JANOG３５ ● 昨今のNTPの事情とは何か？ ● NTPを悪用したDDoS攻撃 ● セキュリティ対策 ● ntpdの設定
• 3. JANOG35 ● 日時：　2015年1月14日(水)〜1月16日(金) ● 会場：　静岡県立大学　谷田キャンパス ● 主催：　日本ネットワーク・オペレーターズ・グループ ● 詳細：　http://www.janog.gr.jp/meeting/janog35/ 参加したのは、２日目の1月15日(木) 塩尻から静岡へは、東京や名古屋より遠い。。。
• 4. JANOG35 ● 草薙駅より無料送迎バスが運行されてました。
• 5. JANOG35
• 6. JANOG35
• 7. 昨今のNTPの事情とは何か？ ● 脆弱性のあるNTPサーバーが踏み台にされ て、DDoS攻撃が増加している。 ● JANOGでは2014年からワーキンググループで 議論していて、対策と情報収集をしています。 ● 脆弱性のあるNTPサーバーの問題。 ● 上位で制限(BCP38/84)する影響の問題。
• 8. NTPを悪用したDDoS攻撃 ● NTPプロトコルはUDPの123番を使用する。 ● UDPはTCPと違って送信元を確認しない。 ● TCPは3wayハンドシェイクで確立。 ● UDPの場合は、送信元アドレスの詐称が安易。 ● 送信元アドレスを攻撃先アドレスに詐称する。
• 9. NTPを悪用したDDoS攻撃 ● 応答情報が多いリクエストをNTPサーバーへ送 信する。 ● NTPサーバーは詐称された攻撃先アドレスに応 答を返す！(DoS攻撃) ● 複数のNTPサーバーに対して行われると、攻撃 先アドレスに膨大なトラフィックが届く！！ (DDoS攻撃)
• 10. セキュリティ対策 ● フィルタリング ○ ファイヤーウォールでUDP123番ポートを制限する。 ○ 制限を実施するポイントの問題がある。 ○ インフラ側　or　サーバー側　？ ○ NTPサービスが利用出来なくなる。 ○ 送信元を詐称したアドレスを制限する。(BCP38) ○ 制限を実施するポイントの問題がある。 ○ 上位インフラ側　or　下位インフラ側　？
• 11. セキュリティ対策 ● クライアント側 ○ ntpdの設定次第でサーバーとして機能するので注意。 ○ 脆弱性対策された最新バージョンを使用する。 ○ ファイヤーウォールでUDP123番ポートを制限する。 ○ iptablesを安易に無効にしない。 ○ restrictで自ホストのみ許可の設定にする。 ■ restrict -4 default noquery ■ restrict 127.0.0.1
• 12. ntpdの設定 ● 脆弱性対策された最新のバージョンを利用。 ● バージョン確認方法 ○ ntpq -c rv ○ 2014年12月19日に4.2.8リリース ○ ディストリビューションのパッケージ毎にパッチを確認 ● アクセス制限 ○ restrict ● monlist無効化 ○ 増幅するパケット量を軽減する。 ○ disable monitor
• 13. ntpdの設定 ● その他、セキュリティ以外について ● 64秒×８回=512秒の間隔で上位NTPサーバー と同期を試みます。 ● 同期高速化オプション　iburst ○ 2秒間隔×８回=16秒 ○ server ntp.nict.jp iburst ○ 初回起動時のみ実行し、後は通常間隔