среда, 25 июня 2014 г.

NTP Amplification

По теме сабжа с января месяца с.г., кажется, только ленивый не писал. Брошу и я свои 5 копеек.

Суть в том, что некто ушлый допер, что засмурфить до смерти целевой объект можно и не посредством почти повсеместно блокируемого ICMP redirect. 

А также посредством открытых DNS и NTP.

Особенно NTP. Простенький запрос к открытому NTP позволяет получить в ответ 600 пакетов и нацелить их на жертву. Причем жертве даже не обязательно иметь NTP-клиента/слушать 123й порт. Его канал просто сдохнет, если континентальный пул NTP начнет заваливать его своей статистикой по наводке смурфиков.

Вначале хорошие новости.

Cisco с iOS версии 15.4 данной уязвимостью не болеет. Ее NTP сообщает вопросившему только время и ничего большего. Что есть хорошо и правильно.

Плохие новости

Понюхайте, как пахнут спелые фиги. Пахнут они фигово.

Дабы работал NTP, у циски надо открыть порт 123 наружу. Что засветит на весь инет все внутренние NTP-сервера, не являющиеся цискиными. И позволит использовать их для засмурфления жертвы, буде таковые сервера сообщают статистику по запросу.

Причем NTP-сервера по умолчанию с большинстве своем настроены сообщать статистику по запросу кого угодно откуда угодно.

Способов лечения, собственно говоря, два. 

Первый - обновить NTP до самого последнего. Не всегда возможно, не всегда удобно.

Второй - тупо запретить в явной форме сообщать о себе что бы то ни было, кроме точного времени. В конфигурационном файле ntp.conf.

Примерно вот так (конфигурация параноика ;)):

server 127.127.1.0
fudge 127.127.1.0 stratum 2

# Let's harden against NTP Amplification attack
disable monitor
restrict default kod nomodify notrap nopeer noquery

Вуаля. Осталось перезапустить NTP и все - они но пасаран.

Согласитесь, неприятно, когда на ваших плечах и без вашего ведома смурфики запрыгивают в чужой канал, как в свой собственный. Ибо нефиг.

И вам не болеть.