From owner-freebsd-users-jp@FreeBSD.ORG Tue Jan 28 02:49:35 2014 Return-Path: Delivered-To: freebsd-users-jp@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [8.8.178.115]) (using TLSv1 with cipher ADH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id 3237FF9F for ; Tue, 28 Jan 2014 02:49:35 +0000 (UTC) Received: from yutaka.nakacya.jp (yutaka.nakacya.jp [49.212.122.153]) by mx1.freebsd.org (Postfix) with ESMTP id EFADD1C9F for ; Tue, 28 Jan 2014 02:49:34 +0000 (UTC) Received: from localhost (localhost.localdomain [127.0.0.1]) by yutaka.nakacya.jp (Postfix) with ESMTP id 421601C6AFA; Tue, 28 Jan 2014 11:49:28 +0900 (JST) X-Virus-Scanned: amavisd-new at nakacya.jp Received: from yutaka.nakacya.jp ([127.0.0.1]) by localhost (yutaka.nakacya.jp [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id qF984Fv+wrAZ; Tue, 28 Jan 2014 11:49:24 +0900 (JST) Received: from [10.233.3.64] (p6172.nttpc.co.jp [210.136.166.172]) by yutaka.nakacya.jp (Postfix) with ESMTP id 2E3F61C6AF8; Tue, 28 Jan 2014 11:49:24 +0900 (JST) Date: Tue, 28 Jan 2014 11:49:24 +0900 From: Katsutoshi Nakatomi To: Genta IHA In-Reply-To: References: <20140128.110347.74745002.matumoto@pluto.ai.kyutech.ac.jp> Message-Id: <20140128114923.BB4C.20A9B97F@nakacya.jp> MIME-Version: 1.0 Content-Type: text/plain; charset="ISO-2022-JP" Content-Transfer-Encoding: 7bit X-Mailer: Becky! ver. 2.65.04 [ja] Cc: freebsd-users-jp@freebsd.org Subject: [FreeBSD-users-jp 95130] Re: =?iso-2022-jp?b?W0ZZSV0gTlRQGyRCJE4bKEJERG9TGyRCJE43bxsoQg==?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.17 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 28 Jan 2014 02:49:35 -0000 中冨です UDP で有る以上、 Reflection は致し方ないことだと思ってます(割り切っています #TimeOut や Reject を Ref先に送るだけなら UDP全般 で出来ちゃうのでは? 無論、不用意に開けておく必要性も有りませんし kernel に近いところで filter するのが最善で「どうにもならん」と言う時はアプリで制限でしょうかね。 OpenResoler も OpenNTP も Reflection が問題の根幹ではなく 「増幅効果が爆発的に大きい」と言う事が最悪の問題点だと思っています。 On Tue, 28 Jan 2014 11:23:51 +0900 Genta IHA wrote: > 伊波ともうします。 > 以下の2つの理由から、基本的にpfまたはipfilterベースで > ステートフル的なフィルタを書くほうがお勧めです。 > > (1) リフレクション攻撃に用いられる可能性があるものはNTPだけではないこと > (2) ntp.confの設定だけでは、参照先のNTPサーバ自体をターゲットとした、リフレクション攻撃を防げない可能性があること > > -- > 伊波 源太 / Genta IHA > > 2014年1月28日 11:03 Ryuji MATSUMOTO : > > 松元@どっかの大学です。 > > > > 補足ですが、 > >> たけふ@大阪豊中です。 > >> > >> ipfw(4) でフィルターする解も有りますけど、 > >> こちらでは、ntp.conf(5) にアクセス制限を設定する方法をとっています。 > > > >>> restrict default ignore > >>> restrict -6 default ignore > > > > この設定をする場合、 > > > >> 必要に合わせてアクセス許可を列挙しています。 > >> > >>> restrict 127.0.0.1 > >>> restrict -6 ::1 > > > > restrictに上流のNTPサーバを設定しわすれると、時計同期をしてくれないよ > > うです。(FreeBSDでは確認してませんが、CentOS6ではそうでした) > > > > なので、 > > -- こう書いたら -- > > server AA.BB.CC.DD > > > > restrict default ignore > > restrict -6 default ignore > > ------------------ > > > > -- ntp.confに以下の行が必要 -- > > restrict AA.BB.CC.DD kof nomodify nopeer noquery notrap > > ---- > > > > 注意: restrictのオプションは例です。各自マニュアルでご確認の上、 > > 取捨選択下さい。 > > > > -- > > 松元隆二 > > _______________________________________________ > > freebsd-users-jp@freebsd.org mailing list > > https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp > > To unsubscribe, send any mail to "freebsd-users-jp-unsubscribe@freebsd.org" > _______________________________________________ > freebsd-users-jp@freebsd.org mailing list > https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp > To unsubscribe, send any mail to "freebsd-users-jp-unsubscribe@freebsd.org" -- Katsutoshi Nakatomi