Centro de Ayuda
Inicio Seguridad

Desactivar la supervisión de NTP

Información válida para: servidores Linux

En este artículo le explicamos cómo desactivar la supervisión de NTP en su servidor.

Al deshabilitar la supervisión de NTP, puede evitar el uso indebido de este servicio para un ataque de Distributed-Reflected-Denial-of-Service (DRDoS).

¿Qué es el NTP?

El Network Time Protocol ("Protocolo de Tiempo de Red") es un servicio en el puerto UDP 123. Sincroniza los relojes de los sistemas informáticos del cliente y del servidor.

La supervisión de NTP favorece los ataques DRDoS

El servidor NTP registra todas las peticiones de sincronización horaria. Se puede acceder a este protocolo externamente usando el comando NTP monlist.

Los atacantes aprovechan esto para generar una respuesta con una pequeña petición. La respuesta es hasta 200 veces más grande que la solicitud. En el paquete solicitante, la IP de origen es reemplazada por la IP del servidor a atacar. Dado que esta función puede utilizarse fácilmente para ataques DRDoS, la supervisión de NTP debería desactivarse si es posible.

Esto no afecta a los sistemas Windows, ya que la función "monlist" no está integrada en el servidor NTP de Microsoft. Por lo tanto, si tiene un servidor Windows no necesita hacer nada.

Cómo verificar si la supervisión de NTP está activa

Utilice el siguiente comando para comprobar si la superivisón está activa en su servidor y si, por lo tanto, es vulnerable a un ataque DRDoS:

root@s12345678:/# ntpdc -n -c monlist 127.0.0.1
***Server reports data not found

En el ejemplo anterior, la supervisión ya está desactivada, es decir, no sería necesario realizar más pasos.

Si la supervisión está activa, el resultado es algo así:

root@s12345678:/# ntpdc -n -c monlist 127.0.0.1
remote address port local address count m ver rstr avgint lstint
===============================================================================
78.47.xxx.x 123 87.106.132.xxx 10089 4 4 1d0 976 357
2001:a60::xxx:2 123 2001:8d8:xxx:xxxx::xx:91ef 10095 4 4 1d0 975 731
178.63.xxx.xxx 123 87.106.132.xxx 10082 4 4 1d0 976 888

Cómo desactivar la supervisión de NTP

Para evitar el abuso de su servidor para este tipo de ataques, debe desactivar la supervisión de NTP.

Paso 1

Al final del archivo /etc/ntp.conf, añada el comando disable monitor.

Paso 2

Reinicie el servicio NTP:

/etc/init.d/ntp restart

Ha desactivado la supervisión de NTP.

Contenido