Información válida para: servidores Linux

En este artículo te explicamos cómo desactivar la supervisión de NTP en tu servidor.

Al deshabilitar la supervisión de NTP, puedes evitar el uso indebido de este servicio para un ataque de Distributed-Reflected-Denial-of-Service (DRDoS).

¿Qué es el NTP?

El Network Time Protocol ("Protocolo de Tiempo de Red") es un servicio en el puerto UDP 123. Sincroniza los relojes de los sistemas informáticos del cliente y del servidor.

La supervisión de NTP favorece los ataques DRDoS

El servidor NTP registra todas las peticiones de sincronización horaria. Se puede acceder a este protocolo externamente usando el comando NTP monlist.

Los atacantes aprovechan esto para generar una respuesta con una pequeña petición. La respuesta es hasta 200 veces más grande que la solicitud. En el paquete solicitante, la IP de origen es reemplazada por la IP del servidor a atacar. Dado que esta función puede utilizarse fácilmente para ataques DRDoS, la supervisión de NTP debería desactivarse si es posible.

Esto no afecta a los sistemas Windows, ya que la función "monlist" no está integrada en el servidor NTP de Microsoft. Por lo tanto, si tienes un servidor Windows no necesitas hacer nada.

Cómo verificar si la supervisión de NTP está activa

Utiliza el siguiente comando para comprobar si la superivisón está activa en tu servidor y si, por lo tanto, es vulnerable a un ataque DRDoS:

root@s12345678:/# ntpdc -n -c monlist 127.0.0.1
***Server reports data not found

En el ejemplo anterior, la supervisión ya está desactivada, es decir, no sería necesario realizar más pasos.

Si la supervisión está activa, el resultado es algo así:

root@s12345678:/# ntpdc -n -c monlist 127.0.0.1
remote address port local address count m ver rstr avgint lstint
===============================================================================
78.47.xxx.x 123 87.106.132.xxx 10089 4 4 1d0 976 357
2001:a60::xxx:2 123 2001:8d8:xxx:xxxx::xx:91ef 10095 4 4 1d0 975 731
178.63.xxx.xxx 123 87.106.132.xxx 10082 4 4 1d0 976 888

Cómo desactivar la supervisión de NTP

Para evitar el abuso de tu servidor para este tipo de ataques, debes desactivar la supervisión de NTP.

Paso 1

Al final del archivo /etc/ntp.conf, añade el comando disable monitor.

Paso 2

Reinicia el servicio NTP:

/etc/init.d/ntp restart 

Has desactivado la supervisión.