¿Qué tan peligroso es que el servicio ntp escuche todas las IP en Linux?

Question

¿Qué tan peligroso es que el servicio ntp escuche todas las IP en Linux?

#1 de GnP (3 votos)

3

Cuando ejecuto el siguiente comando, obtengo el siguiente resultado:

netstat -atpun | grep ntp

udp        0      0 172.16.0.1:123              0.0.0.0:*                               7734/ntpd
udp        0      0 127.0.0.1:123               0.0.0.0:*                               7734/ntpd
udp        0      0 0.0.0.0:123                 0.0.0.0:*                               7734/ntpd
udp        0      0 fe80::250:56ff:fe01:e30:123 :::*                                    7734/ntpd
udp        0      0 ::1:123                     :::*                                    7734/ntpd
udp        0      0 :::123                      :::*                                    7734/ntpd

¿Qué tan peligroso es que el servicio ntp escuche todas las IP en Linux? ¿Puede un atacante potencial dañar mi servidor Linux?

attacks ntp

pregunta Michael 09.03.2015 - 22:15

fuente

1 respuesta

Lea otras preguntas en las etiquetas attacks ntp

Bash Shellshock Cómo crear un entorno de prueba de lápiz OSx

score 3 · Accepted Answer

No es peligroso per se, solo es una mala idea.

De un artículo de cloudflare :

NTP es un protocolo simple basado en UDP que puede ser persuadido para devolver un gran respuesta a una pequeña solicitud.

Un servidor ntp mal configurado que escucha en Internet puede (y será) utilizado para realizar amplification y ataques de reflexión.

La víctima principal de tal ataque no serías tú. El atacante simplemente estaría utilizando su sistema para realizar un ataque DoS a un tercero. Desde el punto de vista de la víctima, usted sería el que realizaría el ataque.

Dependiendo de su infraestructura y del método elegido por el atacante, su sistema y / o su enlace a Internet también pueden obtener DoSed.

Se puede utilizar un servidor NTP bien protegido protegido y parcheado con la configuración correcta para proporcionar tiempo a la internet abierta. Para el caso de uso general de configurar la hora en sus servidores o en toda su red, es una buena idea bloquearla solo en redes de confianza y acceder al límite de velocidad.

En cuanto a su pregunta real (ntp está escuchando en la dirección "cualquiera"), la salida de netstat por sí sola no proporciona suficiente información para evaluar si tiene un problema de seguridad o no. Simplemente dice que NTP está escuchando en el puerto 123 en cada interfaz. Esas interfaces pueden no estar conectadas a otros hosts, pueden estar conectadas solo a hosts de confianza, pueden tener reglas de iptables que bloquean el tráfico en el puerto UDP / 123, etc.