NTP клиент и запрет внешнего обращения

Обсуждение ПО и его настройки
Ответить
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Вот Вам задачка на сообразительность :)
Есть NTP клиент\сервер, поднятый на роутере. Соответственно они доступны всем. Так-же мы имеем особенность NTP, которая позволяет отправить серверу запрос длинное 44 байта с поддельный адресом отправителя и получить ответ в несколько КБ на адрес, который даже не запрашивал этот пакет (одна из распространённый DDoS атак). Ещё одной особенность NTP является то, что как запрос так и ответ приходят всегда на порт UDP123.

Внимание вопрос (Что в чёрном ящике): Как организовать защиту нашего NTP серера, не прибегая к конкретным IP адресам публичных NTP?
Следующий вариант полностью блокирует работает NTP клиента:

Код: Выделить всё

/ip firewall filter add action=drop chain=input comment="Drop external NTP connections" disabled=yes dst-port=123 in-interface=PPPoE-ISP-OPCOM protocol=udp


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Николай, а Вы хитро поступили :mi_ga_et: , задали условие и ещё и сократили решение, описав заранее об подмене адресации,
тут уж почти и нет решений, если так всё серьёзно, как Вы описали. Решение вернее есть, но оно уже за рамки выходит микротика как такового:
Если формально NTP на роутере так можно скомпроментировать, тогда надо NTP службу не ставить вовсе,
оставляем встроенный SNTP функционал и "натравливаем" его на какой то эталонный сервер NTP в локальной сети (скажем на линуксе/винде).
Внутри сети задержки минимальны, с внешней стороны роутер атаковать по 123 порту нет смысла, порта открытого нет, так как сервер NTP не ставили мы.

(ну и попутно вопрос: если NTP в роутере уязвим, почему его не пофиксят? На основном форуме микротиковском, на сколько мне позволяет
мой средний английский, читаю там по прошивкам, про NTP не так часто там появляются возмущения, писалось пару раз и вроде всё.)

(если я не так понял условия задачи, извиняйте, :smu:sche_nie: )



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Всё правильно поняли :)
Ставить на компе NTP сервер не интересно как-то, а что касается уязвимости.. Это по большей части особенность и пофиксить её не меняя сам протокол - почти нереально, да и мало кто знает о такой особенности, т.к. особо и не задавались вопросом.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ответить