【IT】時刻同期サービス「ntpd」に重大脆弱性、不正パケット一撃でサーバ乗っ取りも [14/12/22]©2ch.net

時刻同期サービス「ntpd」に重大脆弱性、細工パケット一撃でサーバー乗っ取りも
【日経BP】 2014/12/22

情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同で運営する
脆弱性関連情報ポータルサイト「JVN(Japan Valnerability Notes)」は2014年12月22日、IT機器の時刻合わせに
広く使われているサーバーソフト(デーモン)の「Network Time Protocol daemon(ntpd)」に複数の脆弱性が
見つかったことを伝えた。発見された脆弱性の中には、不正に細工されたNTPパケットを一つ受け取るだけで、
サーバーがいきなり乗っ取られる危険性があるものも含まれている。

見つかった脆弱性は四つ。
(1)設定ファイルntp.conf中でauth keyを設定していない場合に、暗号強度が低いデフォルト鍵が
　生成される問題、
(2)古いバージョンのntp-keygenが、弱いシード値を使って乱数を発生し、これを基に暗号強度の低い
　対称鍵を生成する問題、
(3)crypto_recv()など三つの関数に、パケット処理に関するバッファオーバーフローの脆弱性が存在する
　問題(autokey認証利用時)、
(4)特定のエラー処理を行うコードに不備があり、エラー発生時に処理が停止しない問題---
である。

NTPサーバーの管理者が特に注意すべきは(3)のバッファオーバーフローの脆弱性だろう。同脆弱性を
突かれると、ntpdを動作させているユーザーの権限で任意のコマンドを実行される危険がある。もしntpdを
root権限で動作させていればシステム上で任意のコマンドを実行される。制限された
ユーザー権限(ntpユーザーなど)で動かしている場合でも、Linuxカーネルでつい最近も見つかった権限昇格の
脆弱性などを狙われることで、サーバーを乗っ取られる危険性がある。

他の多くの脆弱性と異なり、NTPが「UDP(User Datagram Protocol)」を利用するタイプのサービスであるという
点にも注目したい。Webアクセス(HTTP)やメール(SMTP/POPなど)といった一般的なサービスが利用している
TCP(Transmission Control Protocol)と異なり、UDPでは通信に先立ってサーバーとクライアント間での
接続(コネクション)を確立する手順が必要ない。

このため、攻撃者は脆弱性を持つntpdが稼働するNTPサーバーに対して、細工したパケットをただ
送り付けるだけで攻撃を行える。しかも、攻撃側は接続手順が必要ないことに加えてNTPサーバーからの
「戻りのパケット」を受け取る必要もない。このため、攻撃者は送信元IPアドレスを偽装したUDPパケットを
用いることで、身元を隠しつつサーバーに対して一方的に攻撃を行える。サーバー側は、送信元IPアドレスを
基にアクセスを制限することが難しく、どこから攻撃されたかも正しくログに記録されない。

今回見つかった四つの脆弱性に対処するには最新バージョン(18日にリリースされた最新安定版のバージョン
4.2.8など)にアップデートすることが必要となる。

ソース: http://itpro.nikkeibp.co.jp/atcl/news/14/122202355/

プレスリリース:
JVNVU#96605606
Network Time Protocol daemon (ntpd) に複数の脆弱性
http://jvn.jp/vu/JVNVU96605606/

関連スレッド:
【IT】時刻同期のntpdに危険度の高い脆弱性、不正パケット受信でコード実行の可能性 [14/12/22](c)2ch.net
http://daily.2ch.net/test/read.cgi/newsplus/1419224943/

２ｃｈ運用のサーバーも死んでるじゃん

バッファオーバーフローの穴っていっこうになくなる気配ないな

OSX対策済み
http://news.mynavi.jp/news/2014/12/23/021/

ntpだのDNSだの広く長らく使われてる根本的な所で問題が起きるな全く。

一般のご家庭でntpdは動いてないから、あんまり影響ないな。

XPやら７で時刻同期してるけどヤバいな

>>6
ブロードバンドルーターェ・・・

ルーターとか中で結構使われてるよな

で個人レベルではどうしろと？

>>3
結局、インターネットの始まりがいけないんだよ


そもそも、

　「いい加減、ゆるくつながったネットワーク」

これがインターネット

いい加減だからサービスの追加や機能変更も
簡単だがなりすましも攻撃も簡単と言う訳だろう

UNIX自体もその嫌いは有る

>>8
ほー、調べたらバッファローの製品であるのか。

>>12
そもそも通信会社が置く、
光やADSLのルータとかにも入っとる

何語で書いてあるかがわかりませーん

OpenSSLといい、オープンソースは品質管理がダメダメだな
ヲタが気まぐれでメンテしてるから当然だがな
こんなのを平気で業務に使ってコストダウンなどと悦に入っている
やつらは頭がおかしい

インターネットの信頼性がなくなって電子機器が使用できなくなる
戦争も体力と根性だけの白兵戦に逆戻りする
ガンダム的な近未来が訪れるんだな

>>11
南加州の研究機関で内輪のネットワークを組んだまま
だからwwwもメールもみな性善説で当たり前だった
これを始まりからイケナイとか言われても筋が違う

ネットを普及させたのも民衆のエロが最大のエンジン
これをイケナイと言われても（略

(･∀･;)今年はめんどうばかり起きるな

インターネットはクソ。

>>15
そういうのはwindowsの穴がなくなってから言ってくれないかな
毎月バグフィックス出してくるくせに

今年はLINUXも当たり年だったね。来年はいつものかんじで頼むよ

あーーそれで俺の車の時計はよく狂ううのか…

>>17
そのネットワークをDARPAネットに採用したのはアメリカだよ
そもそも、その日本はサーバ・クライアント型でネットワークを構築していた


アメリカの国防が絡んでいんだ、
最初から弱点を知っていてやったのだろう
アーキテクチャ的に弱点の有るネットワークが広まればどうなるか？

>>15
ヒキヲタが何をほざいても糞の足しにもならねぇよ

さっきアップデートきてた。

この板不自然なＭＳ擁護の奴多いからな

>>15
Windowsではつい先日19年間発見されなかった脆弱性が見つかりました。
Macでは認証でNGであっても暗号化通信が成立する脆弱性が見つかりました。

windows8.1の時刻同期ってよく１０秒くらい遅れるんだけど、なんでだろ？

同期先のサーバーが遠すぎるんだろ

　
:　　　　　　∧,,∧
.　　　　　 < #｀Д´>　＜ごめんなさい二ダ！
　　 ⊂＿)＿)ヽ_つ ⊂ノ

人気の最新ゴシップ系まとめ(芸能から事件/事故まで)
http://gossipmatome999.web.fc2.com/

キター!米が北朝鮮にサイバーアタック　北ネット完全停止!!　

>>29
月にあっても１秒くらいしか送れないよな。
太陽なら８分くらい遅れるだろうが。

>>15
おっと穴だらけだったIRIXさんの悪口を言うのはそこまでだ

今年は致命的な脆弱性が検出される数が多いような気がする。

とりあえず家のルータの時刻設定の項目で「NTP使用しない」にしたけど
これでいいの?

これかなり深刻だなおい

電波時計さいきょ

>>34
ルータとかPCの自国が普通の非ネット家電同様だんだんバラけてくるけど
俺は週一NTTの時報を使って手動で時刻合わせするぜ！ってことなら問題ない
ちなみに地上波デジタルは数秒時差があるので使えない

データも中央集権化維持したいってことだよね

>>34
ntpdの結果を反映しないだけで動いてたり

最近ntpdはDDoSの踏み台にされてたから、野良ntpdは減っているはず
ルータがWAN向けに勝手に開いていたとかはあるかもしれん

さっきMacと自鯖のアップデートかけた

おまえらNICTのntpつかってねーの？

Windows Timeサービスも中身はntpdだと思うけどこれ修正しないのかね

頼むからいちいち脆弱性とかで騒ぐなよ
報告書を書いたり、対策したりと面倒なんだよ

おまえら落ち着け
>>1をよく読むと
NTPサーバとあるぞ

PCとかは関係ない

不特定多数からアクセスされるNTPサーバが
攻撃対象にされることは、普通にありえることだ

>>45
ntpd動かしたことないって正直に言え

なお、僕氏、会社の基幹業務サーバでntpdを動かしていたため、休日出勤だった模様。
これから終電で再度出勤して切替作業する模様。

>>46
いや、普通にあるし
外部のNTPサーバに同期させることも多い

にもかかわらず全く問題無い
なぜかわかるか？

とりあえずヤマハ大勝利
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/Security/ntp-reflection.html
>ヤマハルーターのSNTPサーバー機能は、その実装としてntpdを利用していません。

この手の記事でダメなのは、結局記事を読んだ一般人は
何に気をつけて何をしたらいいか、何もしなくていいのか書いてない。
ノートンやカスペ!で守れるのかとかも書いてないから不安を煽るだけ。

>>5
>ntpだのDNSだの広く長らく使われてる根本的な所で問題が起きるな全く。

1と2は、古いバージョンでの暗号強度の話だからどうしようも無い。
新しいのを使えば解決する。
3と4は実装の問題だから、オープンソースにしていれば、
世界の誰かが気づいて少しづつ直っていく。

問題は、windowsみたいにclosedなシステム。

>>50
>不安を煽るだけ。

マスゴミさんの本質やね
むしろ意図的に核心部分を隠す

コワイコワイ〜のデマ拡大は
売上に直結するから

> 他の多くの脆弱性と異なり、NTPが「UDP(User Datagram Protocol)」を利用するタイプのサービスであるという
> 点にも注目したい。

問題があるのはntpdだけなのかな？

>>48
おまいのサーバーを見て時刻を合わせようとするマシンが
家の中にしか無い、

ボッチサーバーだからだろｗｗ

>>46
ルーター使ってたりするか？
NTP鯖入ってるルーターが多いけど、そのルーター時刻同期をサポートしてたりしないか？
ルーター乗っ取られて踏み台に使われたらPC乗っ取られるのと同じだ

>>54
その回答でも間違いとは言えないが
正解は「外部からのアクセスポートの制限をしているから」だ

特殊な設定をしない限り、
家庭用のルータは外部からの不正アクセスを
ほぼ完全に遮断している

つまり言いたいことは、だな
一般家庭でPCを使う場合に、この件>>1は
何の不安も無いとうこと

それを伝えないからクズ報道なんだよ

>>56
良く分からんが、外部のNTPサーバに同期させているのなら、
ルータの123番は開いているんじゃないのか？

リブートめんどくせぇ

>>57
通常は開いてないよ
スプーフィング使われるとWANからの攻撃がLAN内からの攻撃になるからルーターに対策用の設定がないとやられる可能性はある
難しいとは思うけど

>>56
>一般家庭でPCを使う場合に、この件>>1は
>何の不安も無いとうこと
それはちょっと油断しすぎ
LAN内で１台でも踏まれていたら同セグメントで攻撃を仕掛ける事が出来る
そうなった場合でもntpdを更新するか使用停止することで被害を最小限に出来る

き・・・脆弱性

PC 「いま、何時？」
ntpd 「(乗っ取られて) 一　大　事　！！」

妖怪のせいなのよ
そうなのよ

危
い！

>>59
いや、家のNTTのルータ、最初から123ポートが開いているみたいなんだが。

>>62
クソタイムだな

>>57
サーバ管理者とかだとマズいから教えとくけど
上位NTP鯖が>>1の方法で乗っ取られたら下位NTPサーバ及びクライアントに>>1の(3)する事ができる
下位サーバは乗っ取られるけどクライアントは乗っ取られるか分からん
多分クライアントも乗っ取り可能だろ

>>64
わざわざport123をルーティングしてるわけ？
そんなわけないでしょうよ
どこ見てるのかわからないけどLAN→WANなだけだと思うよ

>>66
いや、自宅鯖をいじくって遊んでいる程度の素人なんだがw

> 多分クライアントも乗っ取り可能だろ

多分、そうなんだろうな、ntpdだと。
他のntpサーバやクライアントのソフトは大丈夫なのか、ちょっと心配だ。

>>66
その場合でも乗っ取った後に改変したntpdに差し替えないといけないから
話はそう簡単ではないんじゃないかな

ものがUDPなのでmfeedやnictみたいな有名どころのIPからの応答を偽装して
natで出て行くポート番号の範囲総当たりすればルータのntpd攻撃できるかも知れんな

もうほんとやめて。勘弁してくれ。

>>67
パケットフィルターの設定を見ているんだが、指定のポートを遮断する設定になっていて、
123番を遮断している設定が見当たらないんだが。

追加の設定はしたことはあるが、設定の削除はしていない。
していれば、エントリーの番号が歯抜けになるはずだし。

昔、時間あわせのフリーソフトとかあったよな
ああいうのやばい？

わしのmeは大丈夫なんけ

>>73
時刻を調べに行く方はセーフ。
ntpdは、今何時か教える側。

>>72
遮断していなければ遮断されてる
WANから123番へのアクセスがきたときに192.168.x.xへのスタティックルーティング設定してるわけじゃないだろ？
単純に123番へアクセスが来た所で行き先がない通常は

>>69
root取れたら簡単じゃないかな？
まあ普通簡単に取れないけど

>>77
root取れたとしてもntpdを偽装しないといけないから
中華はもう準備してるかもだけどw
対策できることだからみんな対策しないと

>>76
そもそも最初にネットに繋げた時から、ntpで時刻合わせが出来ていたんだよなぁ。
Windowsのファイヤーウォールは閉じていた、と記憶しているが。

つか、「遮断していなければ遮断されてる」って、意味が分からん。

>>79
うん、気にしなくてよい
その状態であえて123をルーティング設定する可能性は限りなくゼロだから

ただ別の手段でルーターが乗っ取られて123番が標的のマシンに行くようにされてたらまずい
メーカー出荷時パスワードのままにしてたとかね

>>80
さっきから何を言わんとしているのか、さっぱり分からんのだがな。
ルーティングが必要なのは、特定のパケットを特定のPCに導く必要がある時だと思ったんだが。

俺のいじくっているLinuxのマシンも、外のntpで時刻合わせが出来るし、内向きのntp鯖としても使える。

要するに、家のルータは初期設定から123ポートが開いているって事なんだと思うが。

内部端末→外部端末のntpはいけても、外部→内部のntpは
firewallで閉じてたら大丈夫って話で良いのかな？
ただ、外部に公開してる鯖やルータやfirewallでntpd動いてたら危険
という認識で良いのかな？
内部→内部はどこまで手当てするかという感じなのかな？

>>81
まずはしっかり確認してからね
開いてるっていってもLAN→WANなだけだと思うよ

あああとはUPnPの線もあるかな
デフォルト有効な家庭用ルーターもあるかもしれない

なんだサーバ側の脆弱性だから聞きに行く方は問題ないじゃん

>>82
どうなんだろうねぇ？
ポート変換を噛ます設定を考えた方が良いのかなぁ？

ただ、外向きはどのみち123番でやりとりしなけりゃならんのだろうし、
そのPCを鯖で使うとすると、IPは固定しなけりゃならんだろうし。

ややこしいなぁ。

ポートを閉じろおおお

wzr1750dhp2ちゃんとR7000ちゃんは設定かえんでええの？

>>83
だから、その設定が見当たらないと言っているんだがなぁ。

言っておくが、家のルータのパケットフィルターの設定は、指定のポートを閉じるタイプだ。

>>89
そりゃデフォルト動作だもの設定あるわけない
まずは確認

linuxなんて使うからこんなことになる。
やっぱり信頼のういんどうずだね。

>>86
内→外はあまり気にしなくても良いと思うよ。
外→内でntp開けてる鯖なんてふつうは無いんじゃないのかな？
怖いのはルータやfirewallとかでこの脆弱性にヒットしてたら、
やばいパケット一発で乗っ取られて、それ踏み台にして
内部に侵入されたら止めようがないというところ。
って考えてるんだが的外れなのかなぁ？

>>82
多分、一番良いのは、内向きの鯖用にPC用の電波時計を買ってきて、
ルータで外部のntpを弾く手じゃないかと思う。

まあ、これなら安心出来そうだが・・・面倒くさいなぁ。

たとえばAndroidのアプリにこのパケットを仕込んで、家で無線ＬＡＮルータにつないだときに・・・・
あとはルーターの設定に穴をあけて外からアクセスし放題とか？

>>89
> 言っておくが、家のルータのパケットフィルターの設定は、指定のポートを閉じるタイプだ。
何そのルーター怖すぎ

なるほどね
さっぱりわからん

>>94
シナリオとしてはありうる
ルーターだけいじれば大丈夫って発想はやめるべき

>>90
デフォルトで閉じているのなら、設定しなけりゃポートは開かんよ。

>>92
こちら側から問い合わせをしなけりゃあ、外部の鯖も送ってくれない道理だと思うんだが。

まあ、実際に家の鯖が乗っ取られる事はまずないとは思うがな、外向きのIPが固定されている回線じゃあ無いし。

>>95
知らんよ。

文句があるなら、NTTとNECに言ってくれ。
ひかり電話のルータも兼ねているから、取り替えようも無いんだよ。

まあ、色々と試してはいるが。

>>98
>デフォルトで閉じているのなら、設定しなけりゃポートは開かんよ。
それで合ってるよ
根本的に誤解か何かしてるようだからまずは確認をお勧めする

>>98
家庭用は置いといて、企業向けとしては、Internetに晒されてる機器を
重点的に手当てすればいいという感じだろうね。
まあよけいな仕事が増えるね。。。

>>100
なんで、初期設定で閉じているのに、ntpで時刻合わせが出来たと言うのかね？

いい加減な事を言わないで欲しいな。

HTTPとかFTPならわかるけど
個人でntpを外部公開するとかまず無いと思うんだが
内部でntpを立ち上げてても外部のntpに同期とるのはポート開放不要だろうし

>>20
設計思想が変わってから大分減ったがな

>>102
そりゃLAN→WANだものできるさ
別に難しいことじゃない

>>101
鯖屋さんも大変だなぁ。

俺みたいなのは所詮「お遊び」だから、いざとなればLANケーブルを引っこ抜けば済んじゃうが。

ないない。もう個人を襲うウイルスとか都市伝説。
逆に、アメリカと北朝鮮の戦いのレベルのサイバー戦のレベルだと、個人は無力。丸裸

>>105
あのなぁ、LAN→WANが開いていても、WAN→LANが閉じていたらどうにもならんぞ？
どうやって時刻合わせのパケットを受け取るんだ？

そもそも、家のルータはLAN→WAN、WAN→LAN、相方向の設定もある。
初期設定値は、ちゃんと表示されている。

さすが情弱
雑魚い

ＴＣＰはコネクションを結ぶから、順番を守らないパケットは破棄されるけど

ＵＤＰは、そういう概念がないから一定時間ポートが開いて
なんでも受け入れるわけさ。

>>109
で、情強のお方は、どんな対策をしているのかな？

>>108
やはり理解が足りていないからまずは確認からね
さすがにイチからってのはちょっと

使わない
これ最強

会社のファイアウォールを抜ける方法として
ＮＴＰのＵＤＰに化ける方法はありうるかも

>>112
つまり、説明出来ないのだな。

出鱈目を並べるなよ、こんなスレで。

>>9
> ルーターとか中で結構使われてるよな

ルータでntpdなんて動いているのまずないぞｗ

>>108
自分のPCから見ると相手のポート番号までわからないと駄目だが
相手にはここにパケット返してねっていう情報送ってるわけで
一時的に空けたポート指定しておけばそこに返してくれる

ntp（プロトコル）で時刻合わせしているのと
ntpdの違いをわかっとらんバカが居るようだなｗｗｗ

ntpdはサーバとしてもクライアントとしても動作してるんだったよな。
外部でリレーしていない純粋なクライアントに突してくるのは割と
難しいだろうと思うが。

>>115
ものすごーく簡単に言えば
LAN→WANでコネクション張ればWAN→LANのパケットも受け取れる
ただし相手先のIP限定で
他のIPから123番にアクセスしても無駄

例えば、>>57とかな

> 良く分からんが、外部のNTPサーバに同期させているのなら、
> ルータの123番は開いているんじゃないのか？

外部のNTPサーバーを使って時刻合わせしているからといって
それはntpdを動かしていることにはならんし
単に通信しているだけ。

相手はntpdのポート開いているかもしれんが
自分（ルータ）はポート開いてない

ntpってのは、

PC→ntpd 「今何時？」
ntpd→PC 「そーねだいたいねー」

って感じで時計合わせるから、LAN→WAN、WAN→LANの片方向が閉じてるだけで、
時計合わせられないぞ。

>>99
下に適当なルータぶら下げればPPPoEブリッジモードで動くよ

当たり前の話をするけど
ポートは全て閉じてる状態で通信は可能。

NTPもそれと一緒。
NTPで時刻合わせるときに
ポートは開く必要ない。

アナログモデムから117にかけて時刻を修正するシステムにしよう

ntp（が使ってるUDP）っていうのは

PC→ルータ→ntpd 「今何時か教えて。一時的にUDPポート○○番でお待ちしています」
ルータ 「わかった。UDPポート○○番をしばらく開けて待ってるよ」
ntpd→ルータ→PC 「そーねだいたいねー」

って感じで一時的なUDPポートをあけて待つから
いちいち設定でポートを開けておく必要はない。

>>117
あのなぁ、SIPじゃあるまいし、ntp鯖がポート指定を受け付けるなんて聞いたことも無いぞ？

そんなややこしい処理をしていたらアクセス処理が間に合わなくなるだろうってのは、俺程度でさえ理解出来る。

で、当たり前の話をするけど、
ウェブサーバーに接続するのに
自分がウェブサーバーをたてる必要がないように、

ntpdと時刻同期をしているからといって、
自分がntpdを立てているわけじゃない
（もちろんポートも開いていない）

ntpdサーバーの機能を持ったルータは殆ど無い。
ルータが持ってるのはntpdクライアントだけで
一般人は無関係。

>>117
TCPならその考え方でいいけど、UDPだからプロトコル毎に必要なポートを一定時間開けておくくらいしか出来ないかと。

釣りではないのかこの人は
マジなのか
面白すぎるんだが

>>121
何が言いたいのかさっぱりだが、ntpdがntpプロトコルを扱うLinuxのプログラムだって程度の事は知っているよ。

Chronyに置き換えようかと考える程度には知っている。

>>127
> ntp鯖がポート指定を受け付けるなんて聞いたことも無いぞ？

馬鹿かオメェ。ntp関係ねーよ
UDP（TCPもだが）そもそも、戻りはどのポートに
かえしてねって指定する物だ

まさかウェブサーバー80番ポートに接続する時、
自分も80番ポートを開けてると思ってないよな？

サーバーからの返ってくるときのポートは
クライアントが指定する

ｹﾞﾗｹﾞﾗ
面白いー

>>123
試してはみたが、どうも回線速度が芳しくなくてなぁ。

一応、目的があって色々試してはいるんだが。

>>127
いやいや、ntpアプリの処理じゃないよ
TCP/UDPでのやり取り
TCP/IPネットワークにおける決まりごとだよ

>>129
> TCPならその考え方でいいけど、UDPだからプロトコル毎に必要なポートを一定時間開けておくくらいしか出来ないかと。

その通り。だからUDPを使ってNAT超えをする技術がある。

TCPとちがって接続するのにポートさえ空いていればいいから、
通信の最初にルータがあけたランダムなポート・・・を
外部から推測できる仕組みを使って通信が確立できる。

>>1
これWindowsから同期できる？

>>137
> これWindowsから同期できる？

Windowsは標準機能でNTPクライアントの機能を搭載している。
ルータが搭載しているのもだいたい、NTPクライアント

だから同期できる。

もちろん同期していても、Windowsやルータに
搭載されているのはntpクライアントであって
ntpdではないので脆弱性の話は関係ない。

>>132
ああ、向こうが勝手に指定するのか、それは知らなかったな。
だったら、そもそも閉じようが無い訳だが。

どうでもいいけどNTPのソースポートは123固定だぞ
ntpdは123で受信して123で送信する

>>139
向こうってなんだ？

TCPもIPも、通信する側
ブラウザでも同じだからブラウザ（http）で話をすると、

サーバー側はポート80番、ブラウザはランダムに
割り当てられたポート（30000以上とか）を使って通信する。

その時ルータは一時的に「戻りを受け取るポート」としてあける

>>126
UDPの場合、いつ誰がどのポートにbindしているのかはホスト自身にしか分からない。
ルータ側としては、ポートをいつ開けていつ閉じるべきか正確に知ることはできない。

>>135
ああ、今調べてみた。
UDPについては、誤解していたようだな、その辺は素直に認めよう。

ただまあ、それなら、ルータの初期設定でLAN→WANが閉じていれば、当然ntp鯖はパケットを送ってこない理屈になるし、
ルータの初期設定でLAN→WANは閉じていなかった事になる。

だれか「はじめてのふぁいあーうぉーる」講座開いてあげる人いないのかな？
俺はもう寝る！

>>140
それは知らなかった。NTPは特殊だな。

>>143
閉じる閉じないって、普通は外部からみた時の話だろ。
LANからWANへは普通は全開になってる。

XPで搭載されたファイアウォールも
内部から外部は全開だった（今は可能）

ntpdはソースポート123以外から来たパケットは破棄するであってたはずだけど

>>141
で、ポート123向けに送信するんだよな、ntpの場合は。
それがLAN→WAN方向で閉じていたなら、当然問い合わせが出来ない理屈だ。

要するに、これは初期設定から開いていたと考えるしかないんだよ。

ルータの設定はいじらないで時刻合わせが出来たのだから。

>>140
ありゃ。

やっぱり、123で固定だったか。

"ポートを閉じている" ルータでも
外部に接続できるなら戻りを受け取るために
"一時的にポートを開ける" という事実を
知らない人がいるんだろうな。

まあパソコンに詳しい程度
ばかりだろうから当たり前だけど。

>>147
ポートは閉じてる。通信が開始された時に一時的に開くだけ。

>>147
> それがLAN→WAN方向で閉じていたなら、当然問い合わせが出来ない理屈だ。

普通は、LAN→WAN方向は空いているもの。

君、みんなが当たり前に知ってる常識を
言っているだけってわかってる？

これはTCPの話になるけど、同じポート番号であっても、
最初に出ていく時と、戻ってくる時には違いがあって
ルータはそれを認識して、通信を許可したりしなかったりしているんだよ。

ルータはクライアントはのためにランダムなポートを開けるけど
TCPでは外部からそのポートには接続できない。

UDPの場合は、

なんか、こんだけレス使って>>57に戻るとはｗ

うちの子なら家から出て行くのは自由です
家に入れるのは家から出て行った子だけです
ご家庭のルータの基本設定はこんな感じ

UDPの場合は、PCからNTPサーバーに接続する時に
ルータはポートを一時的に開く。
(NTP以外は通常はランダムなポート)

ルータはポートを開くだけじゃない。そのポートを
どのPCに届ければいいか知らなきゃいけない

だから常にWANからLANへのポートが開いているわけじゃない
LANからWANで通信した時に、一時的にポートを開いて
PCとのマッピングを行う

>>152
> なんか、こんだけレス使って>>57に戻るとはｗ

>>57が間違ってるんだよ。

123ポートを使うってだけで、
123ポートは閉じてる。

一時的に開くのと、開いているの違いを
認識していない。

>>155
そのボタンの掛け違えが100レス近いから笑ってしまうんだよ
真剣に解説してるとこ悪いな、スマンｗ

>>149
「一時的にポートを開ける」てのなら、そのポートを使用した場合は、そもそも開いているのと変わらないな。
それで安全と言えるとも思えん。

>>150
家のルータは、例えばUDPの137-139はLAN→WANで閉じているが？

>>156
無知であることを知らない人が
調べもせずにレスしてくるからね。

>>157
> 「一時的にポートを開ける」てのなら、そのポートを使用した場合は、そもそも開いているのと変わらないな。
> それで安全と言えるとも思えん。

ぜんぜん違うだろｗ

お前が言ってる事を例えるば、
家に鍵を開けたら、外に出られない。
鍵をかけていても自分が外に出れるのなら
鍵かかっていないのと変わらないなって
言ってるのと同じ

ちょっと何言ってるのか分かんないです
udpはプロトコル仕様でソースポート固定もあるし
ntpて両方123でなかったっけ

大体ntpdを上げるにしてもfwか.confで上位絞るでしょ
最近の安いfwでもステートフルインスペクションくらい使えるだろうし戻りパケット単発で着信しても落ちるんじゃない？
mim攻撃想定してるようなところはそもそも中にアプライアンス入れるでしょ

>>157
> 家のルータは、例えばUDPの137-139はLAN→WANで閉じているが？

それ以外は開いてますよね？ｗ

UDPの137-139はWindowsのファイル共有で
開いていたら危険だから例外的に閉じているだけ。

例外の話なんぞしなくていいよ。

>>160

> udpはプロトコル仕様でソースポート固定もあるし
> ntpて両方123でなかったっけ

ソースポート固定だからって、
そのポートが開いているわけじゃないんだよ。

どちらにしろ開けるのは一時的。

>>162
あ、うん分かってる
ちゃんとした業者に導入してもらってるなら実害なんぞまず無いだろうし
不毛じゃねーの？で思っただけ
bashやssl のバグとは訳が違うよ

>>160
詳しい方のようだからちょっと伺いたいが、家庭用のルータの初期設定で、
ntpは閉じているものなのかな？

どうも、違うように思えるんだが。

>>57に戻るというより、結局は>>45なんだよな。

ntpdサーバーの話であり、一般ユーザーには関係ない。
時刻同期していても、ntpdサーバーを立ててるわけじゃない。
ルータにNTPサーバーの機能が搭載されていることは殆ど無い。
UDPポート123は通常閉まっている。

だから殆どの人にとって関係ない。

>>161
他にも幾つか閉じているのもあるが？

全部「例外」なのかね？

>>164
ルーター自身のこと？
ブロードバンドルーターでntpdなんてプロセス自体上がってないからしにしなくしよし

インバウンドは閉じてるんじゃね？
アウトバウンドはだいたいマスカレードで通すよ

linuxは堅牢だから問題ない
Windowsのほうがやばい

> 詳しい方のようだからちょっと伺いたいが、家庭用のルータの初期設定で、
> ntpは閉じているものなのかな？

ほらねｗ わかってないから今までの話で重要な事を省略してる

家庭用のルータの初期設定で

（WANからLANへのNTPポートは閉じている。
通信するときだけに一時的に開けるだけ）

その状態を一般にポートは閉じてると言われる

>>166
全部例外です。

>>164
難しく考えすぎ
家庭用ルータの初期設定は、特殊なサービス以外は >>153 になっている
内側から始まる通信ならたいていのサービスが使える
外側から始まる通信は基本的に全部遮断

>>170
暗黙のー、懐かしいつか自分オッサンになったんだなあと

やっぱり「ポートを閉じてる」という状態を
ポートを開くことがない状態。と思い込んでるみたいだな。

一般にはそれでいいけど、ネットワーク技術的には
通信を開始する時に一時的にポートを開いているんだよ。
そのポートに対して、外部から接続している。

そういう状態であっても「ポートを閉じている」と
一般的には表現するし。もちろん安全。

ntpサーバーをのっとって、そこからそこにアクセスするPCに不正に侵入とか
やれちゃうのかね？　それなら一般ユーザーも人ごとじゃないね。

>>174
一般ユーザーはNTPサーバー（ntpd）を起動していない。
時刻同期していてもntpdはを起動しているわけじゃない。
ルータにntpdサーバーが搭載されていることも殆ど無い。
つまりntpdを起動しているのは一般ユーザーではない。

>>174
まあ、そこに同期に来るntpサーバを芋づる式に乗っ取っていって
企業内に侵入とかあるかもしれんが、一般家庭では気にするほど
のことではない。

ソース、デスト、鯖、クラ、プロセスなのか、経路中のfwの話なのか明確にしないから混乱すんじゃね？
人のこといえんけど

ネットど〜たらダ衛門。小暮君の新しい源氏名か。
ま云いたいんはそりだけじゃけど(｡･ω･｡)y-･~~ 付け加えるに、
ど素人の遊びじゃが、自分でスクリプト書いとるとバグ防止いかにムズいか、よぉ〜解る。
大変じゃなグラマ諸君。しかしM$社畜ども。貴様らは詩ね。

>>176に補足しておくと

> まあ、そこに同期に来るntpサーバを芋づる式に乗っ取っていって

同期に来る "ntpサーバ" であってntpクライアントではない。
だからWindowsや時刻同期機能を持ったルータは問題ない。
（あとntpサーバーはntpd限定）

企業内に外部と同期をとっているntpdサーバーを立てて
それがLAN内にある場合の話

>>175
別に一般家庭ユーザーntpd起動してなくても、サーバーをのっとったら
なんだってやれちゃうわけでしょ？ntpdサーバーは多くの家庭用PCも
アクセスするサーバーなわけで、いろいろと仕掛けられたら困るんじゃないの？

>>176
まあたしかに取り越し苦労なのかもしれないけどさ…

>>120
ド素人相手に、あなたは優しいかたですな（　´∀｀）

>>177
> ソース、デスト、鯖、クラ、プロセスなのか、経路中のfwの話なのか明確にしないから混乱すんじゃね？
> 人のこといえんけど

わかっている人はわかってると思うんだけど、
ここは技術者板じゃないから、パソコンに詳しい
アマチュアばかりなんだよ。

だから明確にしないというより、
そもそも明確にするべき事実があることを知ってない。

>>167
「しにしなくしよし」が良く分からんが、WAN→LANでは遮断されていて、
LAN→WANでは動的な設定で通すようになっているってことで合っているかな？

>>170
なんだよ、多いじゃないか、例外w

>>180
> ntpdサーバーは多くの家庭用PCもアクセスするサーバーなわけで、
> いろいろと仕掛けられたら困るんじゃないの？

時刻がずれる程度だけど？ｗ
だって多くの家庭用PCにはntpdサーバー入っていないもの。

>>183
> なんだよ、多いじゃないか、例外w

少ないよ。ほんの数個しかない。
UDPポートっていうのは、65535個ある。
設定されているのはほんの僅か。

>>184
だからntpdの脆弱性を利用してサーバーをのっとり、そっからトロイとか
ウイルスとか撒き散らすって可能性はないの？　まあ他のポートに脆弱性が
なけりゃ大丈夫ってことかい。

>>179
サンクス

>>183
WAN→LANは一部の例外を除いて閉じられている。
LAN→WANは一部の例外を除いて空いている。

これが一般的な家庭用ルータの設定

LAN→WANが開始された時に、WAN→LANに関するポートが開く。

これがルータの（NAT）の仕組み

udp
パケット一撃

この組み合わせが深刻なんだって理解できてない奴多いな。

>>183
気にしなくて

ごめん、インフルなんだ
もう限界
親切な人、後はまかせたー！

バッファロー、早く対処済のファームウェア出せよ

ntpdを外向きに公開していなければ外部から攻撃される恐れはないけれど
スパイウェア等を実行してしまった時にこの脆弱性を利用して権限昇格される可能性はある

こんなの公表するから悪用する奴が出てくるんでしょ。

そもそもWAN→LANって静的NATでも設定しない限りは宛先不明でルータに弾かれるだけ
ポートが開いてる開いていないの問題ではない

>>186
場合によってはそりゃありえるだろ？
そんなもん脆弱性があると聞いた時点で確定している事実だ。

だが一般の家庭にはntpdサーバーはまず無いし、
ntpdサーバーにアクセスしているといっても
時刻合わせにしか使っていない。

どうせ、アクセス先も有名ntpサーバーかプロバイダか
Windows標準だろ？ すぐ対策とられるだろうから
まず影響ないよ。

>>191
ntpdサーバーを搭載している、バッファローのルータ
教えてくれよ。

ntpで同期をとっているものならいくらでもあるが、
サーバー機能を搭載しているものなんてないんだよ。

>>189
理解する暇があったらさっさとアップデートするほうが早いからな

これ発見したのはJVNって日本の組織なわけ？　日本のIT技術力もなかなかやん。

>>198
いやGoogleの中の人

>>198
んなわきゃなかろうが

>>195
まあ毎月のように新たな深刻な脆弱性が発見された！ってお知らせが
流れてると、だんだん不感症になってくるね。どうせ上流のほうで対策
やってるだろう〜と。

>>199
なーんだ、Googleの情報をJVNが流しただけか。

>>201
これは個人で対策しようと思っても出来ないからな。
NTPサーバーを変えるか、使わなくするぐらい。

でやっぱり一番危険なのは企業でntpdを使っている所。

さっき手動同期かけたら軒並みerrorだったのはコレかw

それで家庭用ルータでntpdサーバー搭載しているもの無い？

ntpdはクライアントにもサーバにもなるので一般ユーザは関係ないってのは誤り

まあWindowsユーザは基本的に関係ないけど

そもそも一般ユーザはntpdを起動してないので、まず関係ないって話だろｗ

>>207
全てのOSXやLinuxの一部ディストリビューションには時刻同期にntpdを使ってるので関係ある
OSXは既にアップデートが出てるけどね

最近Windowsの時刻同期に失敗しまくるのもこのせい？

ぱけっとしてるからこんなことに…

とりあえずユーザー側はOSとルーターのアップデート待ちしかないのか

>>188
言わんとする処はなんとか理解出来たが、必要なのはそこじゃなかったと思うなぁ。

言いたいことは、家庭用のルータはLAN→WAN側から送信しないと開かないし、
WAN→LAN側を開く時間が短いから、そう心配は要らないって事なんだろう？

>>190
済まなかった、ゆっくり休んでくれ。

>>209
多分、タスクスケジューラの設定が必要なんじゃないかな？

デフォルトでは、時計の設定で「サーバと同期」にチェックを入れても動作しないはずだ。

>>104
この前アップデートで起動不能騒動起こしておいて何寝言ほざいてんだ

うちのPR-500KIさんは大丈夫なの？

まー、なんつってもNTPの通信ってUDPなんで同期先のNTPサーバーのIPで
パケットの送信元を偽装されると攻撃が成立しちゃうかもだな。
Firewallの設定でRELATEDなパケットだけ通す様にしてれば大丈夫だと思うけど。

うちのmacが起きたらセキュリティアップデートしたってアラートが出てた。
そしたらこれみたい
http://japanese.engadget.com/2014/12/23/ntpd-os-x/
確かにntpdが昨日の2時過ぎに更新されてた。
でも、ntpdバージョンみたら4.2.6。いいのかこれ

うーんいいみたいだな　まあいいか様子みよう

やっぱ一般ユーザーにも関係あるんじゃねーか

>>217
426はダメ版
427以降と公式には書いてあった気がする

Apple製品を買った時点でセキュリティに関しては諦めろよ

ntpd4.2.8にしろってあったよね　んで手間隙かけてアップデートしたのよ
それが自動で更新されてたわけ4.2.6に　対策版だっちゅうから信用してるけど
前みたいに時間が狂うようなら4.2.8に戻すよ

自動アップデートで安心やん
万全ちゃうんか

>>220
うぶんちゅとOSXには4.2.6のパッチあて版が来てる

>>122
yamahaで言えば、
ip pp secure filter in に設定すればいいだけ
必ず双方向設定しなきゃいけない訳じゃねえよ