ネットワーク タイム プロトコルに関する制約事項
Network Time Protocol(NTP)パッケージには、認証されていないリモート攻撃者がサービス妨害(DoS)状態を発生させる可能性がある脆弱性が含まれています。NTP バージョン 4.2.4p7 以前は脆弱です。
この脆弱性は、特定の不正メッセージの処理におけるエラーによるものです。認証されていないリモート攻撃者は、スプーフィングされた送信元 IP アドレスを使用して、悪意ある NTP パケットを脆弱なホストに送信する可能性があります。このパケットを処理するホストは、送信者に応答パケットを返信します。この処理により、2 つのホスト間でメッセージのループが開始される可能性があります。その結果、両方のホストは、過剰な CPU リソースを消費し、ログファイルへのメッセージの書き込みにディスク スペースを使い切り、ネットワーク帯域幅を消費します。これにより、影響を受けたホスト上で DoS 状態が発生する可能性があります。
詳細については、Web ページ「Network Time Protocol Package Remote Message Loop Denial of Service Vulnerability」を参照してください。
NTPv4 をサポートしている Cisco ソフトウェア リリースは影響を受けません。この問題は、その他すべての Cisco ソフトウェア バージョンに影響を及ぼします。
デバイスが NTP を使用するように設定されているかどうかを表示するには、show running-config | include ntp コマンドを使用します。出力に次のいずれかのコマンドが返された場合、そのデバイスは DoS 攻撃に対して脆弱です。
-
ntp broadcast client
-
ntp primary
-
ntp multicast client
-
ntp peer
-
ntp server
Cisco ソフトウェア リリースの詳細については、『White Paper: Cisco IOS and NX-OS Software Reference Guide』を参照してください。
デバイスで NTP を無効にする以外にこの脆弱性に対する回避策はありません。この脆弱性を悪用できるのは、デバイス上の設定済み IP アドレスに宛てられたパケットだけです。中継トラフィックは、この脆弱性を悪用しません。
リリースによっては NTP モード 7 パケットが処理され、NTP のデバッグが有効になっている場合は「NTP: Receive: dropping message: Received NTP private mode 7 packet」というメッセージが表示されることがあります。NTP モード 7 パケットを処理するには、ntp allow mode private コマンドを設定します。このコマンドは、デフォルトで無効になっています。
(注) |
NTP ピア認証は回避策ではなく、脆弱な設定です。 |
NTP サービスは、デフォルトではすべてのインターフェイスで無効になっています。
NTP を実行しているネットワーキング デバイスは、時刻を基準時刻源と同期する際にさまざまなアソシエーション モードで動作するように設定できます。ネットワーキング デバイスは、2 つの方法でネットワーク上の時刻情報を取得できます。それらは、ホスト サービスのポーリングと NTP ブロードキャストのリスニングです。
Line Aux 0 オプションはデフォルトで無効になっています。