From owner-freebsd-users-jp@FreeBSD.ORG Tue Jan 28 03:15:19 2014 Return-Path: Delivered-To: freebsd-users-jp@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) (using TLSv1 with cipher ADH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id 35289A30 for ; Tue, 28 Jan 2014 03:15:19 +0000 (UTC) Received: from mail-oa0-x231.google.com (mail-oa0-x231.google.com [IPv6:2607:f8b0:4003:c02::231]) (using TLSv1 with cipher ECDHE-RSA-RC4-SHA (128/128 bits)) (No client certificate requested) by mx1.freebsd.org (Postfix) with ESMTPS id EF5A11FD9 for ; Tue, 28 Jan 2014 03:15:18 +0000 (UTC) Received: by mail-oa0-f49.google.com with SMTP id i7so7616571oag.8 for ; Mon, 27 Jan 2014 19:15:18 -0800 (PST) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:sender:in-reply-to:references:date:message-id:subject :from:to:content-type:content-transfer-encoding; bh=qS2ASkRlub8rppCADeYaMa9oygb0NMOH9NTg4af1Z2k=; b=eh0Pq+6U2zlqAKHPbBf/+6WaI+tW53FKHel+8NLjuOtD2wOiGzSX+fO3fzA3PuRHEK OByCgPEMH4GFvpZTbX0Y86pYzwhb/olB0CXeHI2hoIYagFDLxO47F4lKUJyQq9rw11gv 6myef/XUDHyIgt8EDwxmvF/4CTvNQkP6uwrP5+efFMNFB+wTKySphTHubdHr+O0cDzJn byUrIA58Q92u663veB7Dg6MwdG0ULXwHOtPzehiQMczpxxehfXBeq5wR2KZi/XAPIL71 o07CQCtypiIwZEtDL0/HeJ8T5mh2GubIKjYIN/IaBCK51n/xYGIMVa5uX11JP0tBAteT G9Qw== MIME-Version: 1.0 X-Received: by 10.60.138.228 with SMTP id qt4mr16554448oeb.38.1390878918212; Mon, 27 Jan 2014 19:15:18 -0800 (PST) Sender: genta.iha55@gmail.com Received: by 10.60.18.103 with HTTP; Mon, 27 Jan 2014 19:15:18 -0800 (PST) In-Reply-To: <20140128114923.BB4C.20A9B97F@nakacya.jp> References: <20140128.110347.74745002.matumoto@pluto.ai.kyutech.ac.jp> <20140128114923.BB4C.20A9B97F@nakacya.jp> Date: Tue, 28 Jan 2014 12:15:18 +0900 X-Google-Sender-Auth: -VB8hQCAxnIVTQqdJtWrPvZh5yU Message-ID: From: Genta IHA To: freebsd-users-jp@freebsd.org Content-Type: text/plain; charset=ISO-2022-JP Content-Transfer-Encoding: 7bit Subject: [FreeBSD-users-jp 95131] Re: =?iso-2022-jp?b?W0ZZSV0gTlRQGyRCJE4bKEJERG9TGyRCJE43bxsoQg==?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.17 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 28 Jan 2014 03:15:19 -0000 伊波です。 そうですね。ただ、増幅の効果があるものは本当に他にはもうないの? というあたりはとても気になるところです。ですので可能であれば フィルタを厳し目に設定しておくほうがよいかと考えています。 # ISP側などでBCP38への対応をしてくれれば最善ですが... -- 伊波 源太 / Genta IHA 2014年1月28日 11:49 Katsutoshi Nakatomi : > 中冨です > > UDP で有る以上、 Reflection は致し方ないことだと思ってます(割り切っています > #TimeOut や Reject を Ref先に送るだけなら UDP全般 で出来ちゃうのでは? > > 無論、不用意に開けておく必要性も有りませんし kernel に近いところで > filter するのが最善で「どうにもならん」と言う時はアプリで制限でしょうかね。 > > OpenResoler も OpenNTP も Reflection が問題の根幹ではなく > 「増幅効果が爆発的に大きい」と言う事が最悪の問題点だと思っています。 > > > On Tue, 28 Jan 2014 11:23:51 +0900 > Genta IHA wrote: > >> 伊波ともうします。 >> 以下の2つの理由から、基本的にpfまたはipfilterベースで >> ステートフル的なフィルタを書くほうがお勧めです。 >> >> (1) リフレクション攻撃に用いられる可能性があるものはNTPだけではないこと >> (2) ntp.confの設定だけでは、参照先のNTPサーバ自体をターゲットとした、リフレクション攻撃を防げない可能性があること >> >> -- >> 伊波 源太 / Genta IHA >> >> 2014年1月28日 11:03 Ryuji MATSUMOTO : >> > 松元@どっかの大学です。 >> > >> > 補足ですが、 >> >> たけふ@大阪豊中です。 >> >> >> >> ipfw(4) でフィルターする解も有りますけど、 >> >> こちらでは、ntp.conf(5) にアクセス制限を設定する方法をとっています。 >> > >> >>> restrict default ignore >> >>> restrict -6 default ignore >> > >> > この設定をする場合、 >> > >> >> 必要に合わせてアクセス許可を列挙しています。 >> >> >> >>> restrict 127.0.0.1 >> >>> restrict -6 ::1 >> > >> > restrictに上流のNTPサーバを設定しわすれると、時計同期をしてくれないよ >> > うです。(FreeBSDでは確認してませんが、CentOS6ではそうでした) >> > >> > なので、 >> > -- こう書いたら -- >> > server AA.BB.CC.DD >> > >> > restrict default ignore >> > restrict -6 default ignore >> > ------------------ >> > >> > -- ntp.confに以下の行が必要 -- >> > restrict AA.BB.CC.DD kof nomodify nopeer noquery notrap >> > ---- >> > >> > 注意: restrictのオプションは例です。各自マニュアルでご確認の上、 >> > 取捨選択下さい。 >> > >> > -- >> > 松元隆二 >> > _______________________________________________ >> > freebsd-users-jp@freebsd.org mailing list >> > https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp >> > To unsubscribe, send any mail to "freebsd-users-jp-unsubscribe@freebsd.org" >> _______________________________________________ >> freebsd-users-jp@freebsd.org mailing list >> https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp >> To unsubscribe, send any mail to "freebsd-users-jp-unsubscribe@freebsd.org" > > -- > Katsutoshi Nakatomi >