松本Linux勉強会にて、2015年1月23日の発表資料。前半の基礎講座でntpdの学習後なので、その知識が前提です。また、図解説明をホワイトボードにて別途行っています。要点は資料から省いています。ご了承下さい。

1. 昨今のNTP事情
JANOG35へ行ってきました！
大原 慎一郎
Twitter: @ohhara_shiojiri
（有）トラストネットワークス 塩尻インキュベーションプラザ１０８号室
http://shiojiri-osslabo.com/

2. アジェンダ
● JANOG３５
● 昨今のNTPの事情とは何か？
● NTPを悪用したDDoS攻撃
● セキュリティ対策
● ntpdの設定

3. JANOG35
● 日時： 2015年1月14日(水)〜1月16日(金)
● 会場： 静岡県立大学 谷田キャンパス
● 主催： 日本ネットワーク・オペレーターズ・グループ
● 詳細： http://www.janog.gr.jp/meeting/janog35/
参加したのは、２日目の1月15日(木)
塩尻から静岡へは、東京や名古屋より遠い。。。

4. JANOG35
● 草薙駅より無料送迎バスが運行されてました。

5. JANOG35

6. JANOG35

7. 昨今のNTPの事情とは何か？
● 脆弱性のあるNTPサーバーが踏み台にされ
て、DDoS攻撃が増加している。
● JANOGでは2014年からワーキンググループで
議論していて、対策と情報収集をしています。
● 脆弱性のあるNTPサーバーの問題。
● 上位で制限(BCP38/84)する影響の問題。

8. NTPを悪用したDDoS攻撃
● NTPプロトコルはUDPの123番を使用する。
● UDPはTCPと違って送信元を確認しない。
● TCPは3wayハンドシェイクで確立。
● UDPの場合は、送信元アドレスの詐称が安易。
● 送信元アドレスを攻撃先アドレスに詐称する。

9. NTPを悪用したDDoS攻撃
● 応答情報が多いリクエストをNTPサーバーへ送
信する。
● NTPサーバーは詐称された攻撃先アドレスに応
答を返す！(DoS攻撃)
● 複数のNTPサーバーに対して行われると、攻撃
先アドレスに膨大なトラフィックが届く！！
(DDoS攻撃)

10. セキュリティ対策
● フィルタリング
○ ファイヤーウォールでUDP123番ポートを制限する。
○ 制限を実施するポイントの問題がある。
○ インフラ側 or サーバー側 ？
○ NTPサービスが利用出来なくなる。
○ 送信元を詐称したアドレスを制限する。(BCP38)
○ 制限を実施するポイントの問題がある。
○ 上位インフラ側 or 下位インフラ側 ？

11. セキュリティ対策
● クライアント側
○ ntpdの設定次第でサーバーとして機能するので注意。
○ 脆弱性対策された最新バージョンを使用する。
○ ファイヤーウォールでUDP123番ポートを制限する。
○ iptablesを安易に無効にしない。
○ restrictで自ホストのみ許可の設定にする。
■ restrict -4 default noquery
■ restrict 127.0.0.1

12. ntpdの設定
● 脆弱性対策された最新のバージョンを利用。
● バージョン確認方法
○ ntpq -c rv
○ 2014年12月19日に4.2.8リリース
○ ディストリビューションのパッケージ毎にパッチを確認
● アクセス制限
○ restrict
● monlist無効化
○ 増幅するパケット量を軽減する。
○ disable monitor

13. ntpdの設定
● その他、セキュリティ以外について
● 64秒×８回=512秒の間隔で上位NTPサーバー
と同期を試みます。
● 同期高速化オプション iburst
○ 2秒間隔×８回=16秒
○ server ntp.nict.jp iburst
○ 初回起動時のみ実行し、後は通常間隔