| HTML |
|---|
| Wiki-Markup |
{html}<style> .wiki-content p {text-align:justify;} .wiki-content {position:relative; left:60px; width:600px;} </style>{html} |
| Inhalt | ||||||
|---|---|---|---|---|---|---|
|
...
Ntp-Server, die den monlist-Befehl öffentlich erlauben, können für DoS-Angriffe missbraucht werden.
...
ntp kommuniziert mittels UDP und die UDP source IP kann leicht verändert werden auf die IP des zu dossenden Zielesanzugreifenden Zieles
- der monlist command liefert eine Liste mit den letzten 600 anfragenden Clients zurück
die Antwort kann bis zu 200 mal größer sein als die Anfrage (=Amplifizierung)
- der monlist command ist bis NTP server Version 4.2.7 per default aktiviert (ab Version 4.2.7 aber per default geschlossen)
Der Zugehörige Angriff ist unter Amplified UDP reflection attack ausführlich beschrieben.
...
Für Teilnehmer, die keinen eigenen ntp (Timeserver) betreiben, bietet das ACOnet den ts1.aco.net und ts2.aco.net an.
Gegenmaßnahmen
Da es sich meist um eine Fehlkonfiguration handelt, haben sich folgende Schritte bewährt:
- Prüfen ob der NTP SERVER Dienst auf dem Gerät wirklich benötigt wird und diesen eventuell deaktivieren (der NTP CLIENT kann aktiviert bleiben).
- Aktualisieren des NTP Server auf die Version 4.2.7 oder höher. Bei diesen Versionen ist der monlist command per default abgeschaltet.
- Zugriff auf den NTP Server Dienst des Geräts auf das lokale Netz beschränken.
- Monlist command manuell in der Konfiguration abschalten.
Sehr gute Hilfestellung bei der Ergreifung der individuell besten Maßnahmen finden sie auf ntp.org - ntpd access restrictions.
Links
US-CERT Alert (TA14-013A) NTP Amplification Attacks Using CVE-2013-5211
https://www.us-cert.gov/ncas/alerts/TA14-013A
...
Secure NTP Template. Konfigurations-Empfehlungen von Team Cymru.
https://www.team-cymru.org/ReadingRoom/Templatescom/secure-ntp-template.html
ACOnet-Timeserver
http://www.aco.net/timeserver.html?&L=0
...