Recientemente noté que algunas personas intentaban realizar ataques de reflexión ntpd en mi servidor. Entonces mis preguntas son: ¿qué tan necesario es que ntpd permanezca habilitado y cómo puedo habilitarlo y deshabilitarlo?
Respuesta1
Una instalación predeterminada de Ubuntu 16.04 o 18.04 de escritorio no incluye ntpd. (El instalador del servidor predeterminado tampoco lo aplica, aunque algunas imágenes de la nube lo incluyen). Más bien, systemd-timesyncdes el cliente SNTP predeterminado. Debido a que es solo un cliente SNTP (no un servidor NTP), no responde en absoluto a solicitudes externas (salvo posibles errores en systemd-timesyncd). Puedes ver lo systemd-timesyncdque está haciendo usando timedatectl.
Otros puntos de interés:
La configuración predeterminada de
ntpdUbuntu 16.04 incluye protecciones específicas para evitar que se utilice en ataques de reflexión.En Ubuntu 18.04, el servidor NTP predeterminado (preinstalado en algunas imágenes) se cambió a
chronyd, que tiene un mejor historial de seguridad y una base de código más segura.según un informe reciente.
Respuesta2
No es necesario que ntpd permanezca habilitado. Es bueno tener una hora correcta, pero no es necesario. La mayoría de las configuraciones predeterminadas actuales deberían restringir el acceso al servidor ntp para proteger contra ataques de reflexión.
Para habilitar y deshabilitar para el próximo reinicio:
systemctl enable ntpd
systemctl disable ntpd
Para iniciar y detener inmediatamente
systemctl start ntpd
systemctl stop ntpd
Respuesta3
Además de lo que dijo RalfFriedl, también vale la pena señalar que algunos programas dependen del reloj para estar sincronizados. Esto suele ser para situaciones de licencia o de par de claves (a veces 2FA también lo requiere).
Simplemente sea consciente de lo que está ejecutando y de lo que requiere. Si comienza a ver errores extraños con las licencias o los certificados, primero verificaría NTP.
En lo que respecta a los ataques de reflexión NTP, estoy bastante seguro de que puede evitar que visitantes no deseados soliciten datos NTP cerrando el puerto* 123 al tráfico entrante. De esta manera, aún puede realizar solicitudes salientes NTP, recibir sus respuestas y bloquear ataques entrantes. Realmente no debería necesitar ese puerto para el tráfico entrante a menos que esté ejecutando un servidor NTP. También puede desactivar cosas como el comando monitor en NTP para reforzar su servidor NTP. (Esta publicación es antigua pero puede ayudar:https://isc.sans.edu/forums/diary/NTP+reflection+attack/17300/)
Espero que responda tu pregunta :D
*: Editar para mayor claridad