NTP에 대해 알아보겠습니다.

NTP는 보안위협사고, 로그 조회 등 정확한 시간을 알기 위해 사용합니다.

NTP 특징, 보안위협, 대응방법에 대해 알아보겠습니다.

 

Ⅰ. NTP 특징

   1. UDP 123번 기반의 시간 동기화 서비스
   2. Network Time Protocol 의 약자
   3. 시간을 동기화하여 시간을 정확하게 유지하는데 사용되는 프로토콜이다.
   4. NTP 데몬 확인: /etc/rc.d/init.d/ntpd
       운영체제별 NTP 설정
          1) Linux : /etc/ntp.conf  
            * /etc/ntpd.conf X
          2) Windows : 제어판 -> 모든 제어판 항목 -> 날짜 및 시간

 

Ⅱ. NTP 증폭 공격

 

1) NTP 서비스의 monlist 기능을 악용해 중계자가 특정 대상자에게 대량의 트래픽을 전송 해 과부하를 유발시키는 기법

2) monlist 기능 NTP 서버에 접속한 시스템 목록을 요청하고 출력하는 기능

3) 대응 방법 4.2.8 버전 이상으로 업데이트를 진행하거나, /etc/ntp.conf 환경 설정의 restrict default 항 목에 noquery 내용을 추가해 monlist 기능을 비활성 상태로 전환

 

* monlist : 구버전의 NTP서버에서 사용하는 명령어로, 최근 접속한 최대 600개의 접속 호스트에 대한 정보를 응답 받을 수 있는 명령어 (v2.4.7 이상에서는 해당 명령어가 삭제됨)

 

Ⅲ. 취약한 NTP 서버 확인 방법

 ntpdc –n –c monlist [IP 주소]

   timed out이 뜨면 안전 / 목록이 뜨면 취약

 NTP서버에서 monlist를 사용하지 않은 방법 (버전 업그레이드)

  NTP 버전 4.2.7 이상으로 업그레이드 (monlist 미사용 버전)

 monlist 기능 비활성화 방법 (업그레이드 불가시)

  /etc/ntp.conf 파일에서 “disable monitor” 추가 후 NTP 서비스 재시작