UDP Мониторинг

Порт 123 (NTP)

Узнайте о порте 123 (NTP) - угрозы безопасности, уязвимости и применение. Найдите устройства с открытым портом 123.

Краткая информация

Номер порта

123

Протокол

UDP

Сервис

NTP

Имя IANA

NTP

Описание сервиса

Сетевой порт UDP 123 предназначен для протокола Network Time Protocol (NTP). NTP - это протокол, используемый для синхронизации часов компьютерных систем по сети. Он работает, обмениваясь временными метками между клиентами и серверами NTP. Клиент NTP отправляет запрос на сервер, содержащий временную метку отправки запроса. Сервер отвечает временной меткой получения запроса, временной меткой отправки ответа и временной меткой, когда он получил последний раз синхронизированное время от другого сервера. Клиент, получив ответ, использует эти временные метки для вычисления задержки сети и смещения часов, что позволяет ему корректировать свои часы. NTP обычно использует иерархическую систему, называемую стратами, где страта 0 - это эталонные часы (например, атомные часы или GPS), а более высокие страты синхронизируются с более низкими. Это обеспечивает масштабируемую и надежную систему синхронизации времени.

## Рекомендации по настройке файрвола

В большинстве случаев порт UDP 123 должен быть открыт только для исходящих соединений от внутренних систем, нуждающихся в синхронизации времени, к доверенным серверам NTP. Входящий трафик UDP 123 следует блокировать, если не требуется предоставлять услуги NTP внешним клиентам. Если необходимо предоставлять услуги NTP, следует тщательно настроить сервер NTP для ограничения доступа к доверенным сетям и системам, а также использовать последнюю версию программного обеспечения NTP с известными исправлениями безопасности. Необходимо настроить ограничение скорости запросов и мониторинг трафика NTP для обнаружения аномалий, таких как атаки усиления DoS. Рассмотрите возможность использования аутентификации NTP для предотвращения спуфинга трафика. Если NTP не требуется, порт UDP 123 следует полностью заблокировать.

Информация о безопасности

NTP подвержен различным проблемам безопасности из-за своей роли в синхронизации времени и исторической сложности протокола. Одним из наиболее распространенных векторов атак является усиление Denial-of-Service (DoS), где злоумышленник отправляет небольшие NTP-запросы на серверы с поддельными адресами отправителей, направляя большие объемы трафика ответа на целевую жертву, перегружая ее ресурсы. Другие уязвимости включают возможность внедрения вредоносных временных меток, что может привести к рассинхронизации часов в системах, зависящих от NTP, и потенциально нарушить их работу или скомпрометировать безопасность. Из-за своей повсеместности и важности для многих систем, NTP часто является целью злоумышленников.

Известные уязвимости

CVE	Название	Критичность	Описание
CVE-2014-9295	NTP: Обработка пакетов с опцией расширения KoD	Medium	NTP daemon (ntpd) до версии 4.2.8p1 позволяет удаленным злоумышленникам вызвать отказ в обслуживании (истощение пакетов) посредством отправки пакетов с опцией расширения KoD (Kiss-of-Death).
CVE-2015-5194	NTP: Переполнение буфера в ntpq	High	ntpq в NTP до версии 4.2.8p4, при включенном режиме аутентификации, позволяет удаленным злоумышленникам вызвать отказ в обслуживании (падение процесса) или, возможно, выполнить произвольный код посредством длинного ответа от NTP сервера.
CVE-2016-1547	NTP: Уязвимость обхода аутентификации	Critical	NTP до версии 4.2.8p7 позволяет удаленным злоумышленникам обходить аутентификацию и отправлять произвольные команды, используя ключ по умолчанию MD5.
CVE-2019-8936	ntpd: Память, не используемая в ntp_proto.c	Medium	Утечка памяти в ntp_proto.c в ntpd 4.2.8p12 и более ранних версиях может позволить злоумышленнику вызвать отказ в обслуживании (истощение памяти) путем отправки специально созданных пакетов.