伊波です。 そうですね。ただ、増幅の効果があるものは本当に他にはもうないの? というあたりはとても気になるところです。ですので可能であれば フィルタを厳し目に設定しておくほうがよいかと考えています。
# ISP側などでBCP38への対応をしてくれれば最善ですが... -- 伊波 源太 / Genta IHA 2014年1月28日 11:49 Katsutoshi Nakatomi <nakat...@nakacya.jp>: > 中冨です > > UDP で有る以上、 Reflection は致し方ないことだと思ってます(割り切っています > #TimeOut や Reject を Ref先に送るだけなら UDP全般 で出来ちゃうのでは? > > 無論、不用意に開けておく必要性も有りませんし kernel に近いところで > filter するのが最善で「どうにもならん」と言う時はアプリで制限でしょうかね。 > > OpenResoler も OpenNTP も Reflection が問題の根幹ではなく > 「増幅効果が爆発的に大きい」と言う事が最悪の問題点だと思っています。 > > > On Tue, 28 Jan 2014 11:23:51 +0900 > Genta IHA <ge...@teeda.jp> wrote: > >> 伊波ともうします。 >> 以下の2つの理由から、基本的にpfまたはipfilterベースで >> ステートフル的なフィルタを書くほうがお勧めです。 >> >> (1) リフレクション攻撃に用いられる可能性があるものはNTPだけではないこと >> (2) ntp.confの設定だけでは、参照先のNTPサーバ自体をターゲットとした、リフレクション攻撃を防げない可能性があること >> >> -- >> 伊波 源太 / Genta IHA >> >> 2014年1月28日 11:03 Ryuji MATSUMOTO <matum...@pluto.ai.kyutech.ac.jp>: >> > 松元@どっかの大学です。 >> > >> > 補足ですが、 >> >> たけふ@大阪豊中です。 >> >> >> >> ipfw(4) でフィルターする解も有りますけど、 >> >> こちらでは、ntp.conf(5) にアクセス制限を設定する方法をとっています。 >> > >> >>> restrict default ignore >> >>> restrict -6 default ignore >> > >> > この設定をする場合、 >> > >> >> 必要に合わせてアクセス許可を列挙しています。 >> >> >> >>> restrict 127.0.0.1 >> >>> restrict -6 ::1 >> > >> > restrictに上流のNTPサーバを設定しわすれると、時計同期をしてくれないよ >> > うです。(FreeBSDでは確認してませんが、CentOS6ではそうでした) >> > >> > なので、 >> > -- こう書いたら -- >> > server AA.BB.CC.DD >> > >> > restrict default ignore >> > restrict -6 default ignore >> > ------------------ >> > >> > -- ntp.confに以下の行が必要 -- >> > restrict AA.BB.CC.DD kof nomodify nopeer noquery notrap >> > ---- >> > >> > 注意: restrictのオプションは例です。各自マニュアルでご確認の上、 >> > 取捨選択下さい。 >> > >> > -- >> > 松元隆二 >> > _______________________________________________ >> > freebsd-users-jp@freebsd.org mailing list >> > https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp >> > To unsubscribe, send any mail to "freebsd-users-jp-unsubscr...@freebsd.org" >> _______________________________________________ >> freebsd-users-jp@freebsd.org mailing list >> https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp >> To unsubscribe, send any mail to "freebsd-users-jp-unsubscr...@freebsd.org" > > -- > Katsutoshi Nakatomi <nakat...@nakacya.jp> > _______________________________________________ freebsd-users-jp@freebsd.org mailing list https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp To unsubscribe, send any mail to "freebsd-users-jp-unsubscr...@freebsd.org"
