[lacnog] Seguridad: Escaneos IPv6 por utilizar servidores NTP públicos
Fernando Gont
fgont en si6networks.com
Sab Mar 23 04:31:56 -03 2019
HOla,
Esto no se "esta usando". Sino que mas bien es un incidente en el cual
un servidor NTP del pol se volvio rogue ( o mas bien, siempre lo fue,
desde que lo instalo la gente de NTP).
La recomendacion de correr un servidor NTP en la propia red no es mala.
Sin embargo, esta cuestion es un problema mas general, y tiene que ver
con el uso que se le hace a las direcciones IPv6.
En tal sentido, la mejor recomendacion es habilitar las direcciones
temporales (RFC4941) y bloquear en el CPE/FW de border las conexiones
entrantes, salvo aquellas dirigidas a las direcciones estables. Ver:
https://www.ietf.org/archive/id/draft-gont-6man-address-usage-recommendations-04.txt
Saludos,
Fernando
On 22/3/19 11:02, Andres Rahn - Quasar wrote:
> Quizás llego tarde a la fiesta, pero para quienes no estén al tanto,
> encontré un artículo que describe que una de las maneras que se están
> utilizando para escanear/encontrar hosts con conectividad IPv6 activos
> en el vasto espacio de direcciones existente.
> Lo que se está haciendo es registrar servidores propios en el pool de
> ntp público de pool.ntp.org. Con ello ya no hay que "salir a buscar los
> hosts", sino que los hosts vienen a uno y en el caso de Shodan por
> ejemplo, se crea una base de datos que sirve para luego escanear otros
> servicios y vulnerabilidades activas de esos hosts IPv6.
>
> La solución que se propone es que el equipamiento de cada red propia
> utilice servidores NTP internos o privados de cada uno, y que éstos
> servidores NTP propios a su vez sincronicen con el exterior o mejor aún
> con GPS o GSM.
>
> Artículo fuente:
> https://isc.sans.edu/forums/diary/Targeted+IPv6+Scans+Using+poolntporg/20681/
>
>
>
--
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
Más información sobre la lista de distribución LACNOG