Caríssimos Eu tenho várias máquinas rodando o 10.2-RELEASE (atualizadas semanalmente). Para a minha surpresa, recebi esta mensagem do CAIS (Centro de Atendimento a Incidentes de Seguranca):
********************************************************************************************* Prezados, Foram identificados servidores NTP vulneráveis que podem ser utilizados em ataques de negação de serviço (DDoS). Os servidores abaixo estão respondendo consultas NTP Mode 6 para READVAR, consultas desse tipo podem retornar dados como: Versão do NTP, Versão do sistema operacional entre outros.Embora, não seja tao ruim quanto a consulta Modo 7 para MONLIST, as consultas para READVAR podem fornecer normalmente em torno de 30x amplificação. O CAIS recomenda que ao menos uma das soluções abaixo sejam executadas para proteger seu servidor NTP contra ataques desse tipo. • Atualizar o servidor NTP para a versão "NTP version 4.2.7" ou mais recente • Seguir as recomendações do CAIS para Hardening em servidores NTP - Juniper https://sgis.rnp.br/wiki/80/plugin/attachments/download/33/ - Cisco https://sgis.rnp.br/wiki/79/plugin/attachments/download/34/ - Sistemas Linux https://sgis.rnp.br/wiki/81/plugin/attachments/download/35/ • Seguir as recomendações de Hardening do Team-Cymru http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html Para verificar se o seu servidor está vulnerável, execute as rotinas abaixo: 1 - Instalar o NTPQ em uma máquina fora da sua rede 2 - Executar a consulta READVAR # ntpq -c rv "IP" Se a consulta retornar algo diferente de "timeout" o seu servidor está vulnerável, dessa forma, é necessário seguir as recomendações acima para configurar seu servidor de forma segura. Mais Informações: https://ntpscan.shadowserver.org/ Documentação para configuração segura de servidores NTP pelo CAIS https://sgis.rnp.br/wiki/06hardening/Ntp/ Favor investigar, tomar providências e responder ao reclamante, com cópia para o CAIS. ************************************************************* Eu fiz o teste com o comando ntpq -c rv ipdamaquinaasertestada e recebi inicialmente os valores e não o "timeout" O mesmo comando quando testado em máquinas linux (que eu não atualizo por não confiar muito nos mecanismos de atualização) retornam com timeout. Ou seja, como pode o FreeBSD, mais seguro e atualizado do que uma versão linux estar apresentando este problema? Será que isto é realmente um problema (as máquinas rodam o ntpd, mas creio que elas não são servidoras de ntp e sim somente clientes)? Eu resolvi a questão, para deixar o pessoal do CAIS satisfeito, *colocando estas linhas no final do /etc/ntp.conf: by default act only as a basic NTP clientrestrict -4 default nomodify nopeer noquery notraprestrict -6 default nomodify nopeer noquery notrap# allow NTP messages from the loopback address, useful for debuggingrestrict 127.0.0.1restrict ::1# server(s) we time sync toserver 192.0.2.1server 2001:DB8::1server time.example.net <http://time.example.net>* *Por favor, alguém tem algum comentário a fazer sobre isto?* *Agradeço desde já a atenção* *Um abraço* *Edu* -- Eduardo Lemos de Sa Associated Professor Level 4 Dep. Quimica da Universidade Federal do Paraná fone: +55(41)3361-3300 fax: +55(41)3361-3186 ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd