Como posso me defender de um DRDoS que explora o servidor NTP em um host ESXi?

5

Recentemente, tivemos alguns problemas com um dos nossos servidores ESXi, causados pelo Ataque de amplificação DRDoS do servidor NTP usando o ntpdc .

Como eu configuro o servidor NTP no ESXi para não ser exposto a este ataque DDoS?

Ou, se eu desligar o serviço, isso afetará minhas VMs?

    
por fefe 06.02.2014 / 12:03

5 respostas

2

A resposta pode ser encontrada em esta postagem do blog . Tudo que você precisa fazer é desabilitar o comando "monlist", que por sinal foi removido no ntpd 4.2.7 (nossos servidores ESXi 5.1.0u2 estão rodando 4.2.6p2).

  1. Acesse o console do seu servidor, ativando o console local ou o SSH.
  2. Edite /etc/ntp.conf adicionando noquery à primeira linha restrict .
  3. Reinicie o serviço NTP com /etc/init.d/ntpd restart .
  4. Verifique se o comando monlist foi desativado:

    ntpdc -c monlist 1.2.3.4

por 08.02.2014 / 05:56
3

A pergunta não é respondível - e você pode não gostar das respostas que podem ser dadas.

2 cenários, você não menciona nenhum detalhe para filtrar:

1 - você estava acostumado a amplificar. Neste caso, pergunto-me por que o host do ESXi era acessível pela Internet. Não deveria ser. Não deve ter um IP público. Eu não corro ESX mas mantenho um número de servidores de Hyper-V para clientes e homem, você não acharia QUALQUER deles no internt. Eles vivem em uma rede interna, todo o acesso é feito via VPN para esse gateway interno. Sim, os servidores podem ter endereços IP públicos - servidores virtuais - mas nunca os hosts. Sem necessidade de. Todo tráfego proveniente da Internet passa pelo firewall (via NAT), portanto eles são protegidos. Eu considero essa linha de base profissional em segurança.

2 - você foi alvejado. Neste caso - de jeito nenhum. Isso é como dizer "o que eu quero na minha casa para que as pessoas não me enviem toneladas de pacotes que eu nunca pedi". no momento em que o tráfego atinge o host ESX, ele já sobrecarrega sua largura de banda. Novamente, por que o host está na internet?

    
por 06.02.2014 / 12:29
1

How do I configure the NTP server on ESXi to not be exposed to this DDoS attack?

No momento, você não pode, na verdade. O ntpd no ESXi não é realmente configurável (pelo menos em uma forma suportada pelo VMware), portanto suas opções estão realmente ativadas ou desativadas.

Presumivelmente, a VMware lançará um patch ou atualização em breve para resolver o problema (não vejo um que diga que ele resolve o problema agora), e você pode aplicá-lo quando for lançado, mas isso não será possível. t ajuda agora mesmo.

Você poderia atualizar manualmente seu host ESXi para um cliente ntpd mais recente que não seja vulnerável (afinal, o ESXi é "apenas" uma distribuição Linux customizada, mas eu não faria isso e correria o risco de estar em uma configuração não suportada com o VMware.

Claro, como você sugere na sua pergunta, você também pode evitar o ataque desligando o serviço (por enquanto).

Or, if I switch off the service, will that have any effect on my VMs?

Isso depende inteiramente de como seus sistemas operacionais convidados estão configurados para ntp. Se eles estiverem configurados para sincronizar o tempo com o sistema host, eles começarão a perder a sincronização de horário (quanto mais tempo eles gastarem com o uso da CPU ociosa, pior será o tempo que você verá).

Se eles estiverem configurados para obter tempo de uma fonte ntp diferente, eles não terão problemas ... a menos, é claro, que também estejam executando clientes ntp vulneráveis. Nesse caso, eles provavelmente estarão o ataque DRDoS em vez do host.

Se você está atualmente configurando seus sistemas operacionais convidados virtuais para obter tempo de seus servidores host, agora pode ser um bom momento para considerar uma abordagem diferente, que depende inteiramente do seu caso de uso. Executar os domínios do Windows torna isso fácil - o emulador PDC obtém o tempo ntp de uma fonte ntp confiável (externa), todos os outros controladores de domínio obtêm seu tempo do emulador PDC e todos os clientes obtêm seu tempo do controlador de domínio local. Naturalmente, seu caso de uso pode ser diferente ou mais complicado.

    
por 06.02.2014 / 12:29
0

Em primeiro lugar, você não deve ter seu ESXi recuperando seu tempo de uma fonte externa para evitar isso.

Eu recomendo que você crie um servidor NTP internamente que será agrupado pelos servidores ntp.org e protegido corretamente para mitigar o ataque NTPD DDOS.

    
por 06.02.2014 / 12:29
0

Estou realmente intrigado com todas as respostas longas mas irrelevantes aqui ...

A resposta é fácil: ative o firewall ESXi bultin!

Por padrão, ele é ativado e bloqueia o tráfego de entrada do NTP. Então, por que diabos você desativou em primeiro lugar?

    
por 06.02.2014 / 19:39