[ファームウェアリリース] SEIL/X,B1 ver.4.82 ＆ SEIL/x86 ver.3.42

記事一覧

• 2019-03-28 | SEIL/X4の提供を開始しました。
• 2015-10-29 | Vagrant + SEIL/x86 で仮想環境のネットワーク設定を自動化
• 2015-09-30 | SEILアプライアンスシリーズ BPV4の提供を開始しました。
• [ファームウェアリリース] SEIL/X,B1 ver.4.82 ＆ SEIL/x86 ver.3.42
• [ファームウェアリリース] SEIL/X,B1 ver.4.80 ＆ SEIL/x86 ver.3.40
• [ファームウェアリリース] SEIL/X,B1 ver.4.70 ＆ SEIL/x86 ver.3.30
• 2014-12-25 | Armadillo と SACM
• [ファームウェアリリース] SEIL/X,B1 ver.4.62
• SEIL/x86 で DS-Lite
• [ファームウェアリリース] SEIL/X,B1 ver.4.60 ＆ SEIL/x86 ver.3.20
• [ファームウェアリリース] SEIL/X,B1 ver.4.54 ＆ SEIL/x86 ver.3.14
• 2013-12-27 | mruby Advent Calendar 2013 書きました
• 2013-01-23 | JANOG 31 MAP-E クラウドテストラボに SEIL/x86 を提供しました
• 2012-12-12 | kindle で DHCP でのアドレス取得に失敗する件
• 2012-07-03 | JANOG30にSEILの4rd/MAP試験実装を提供します
• 2012-04-11 | さくらのクラウドでSEIL/x86を動かす
• 2012-04-09 | IETFとRFC
• 2012-04-09 | Happy life with IPv6
• 2012-03-16 | SEILとスマートコンセント
• 2012-03-06 | SEILと軽量Ruby
• 2011-12-28 | Linux KVM上でSEIL/x86を使う
• 2011-12-20 | SEILのVPNパススルー機能
• 2011-11-02 | SEILにSSTPでリモートアクセス可能に
• 2011-10-03 | IPv6とTCP MSSの調整
• 2011-08-01 | SEIL で NGN IPv6 ネイティブ (IPoE) 接続を試す
• 2011-07-25 | SEIL と Mac OS X Lion で IPv6
• 2011-07-15 | ルータの節電対策(Ethernet編)
• 2011-07-08 | Wake on LAN で節電対策
• 2011-06-16 | SSHでリモートログインを安全に
• 2011-06-07 | IPv6のセキュリティを強化する
• 2011-06-03 | NGN IPv6への接続の設定(dhcp6, rtadvd)
• 2011-06-02 | NGN IPv6への接続の設定(ppp, interface, route6)
• 2011-06-01 | SEIL/x86でNGN IPv6接続を試す
• 2011-06-01 | ブログ始めました

NTPの設定に、動作モードの設定を追加しました

これまでSEILのNTP機能は、機能を有効にした時点でNTPクライアントかつNTPサーバとして動作していました。サーバとして他のクライアントから参照されることを想定していない場合、IPフィルタの設定を忘れてしまうと、意図せずサーバとして動作していることにより、脆弱性を狙われた際に、見逃しやすくなってしまっていました。これを防止するために、NTPサーバまたはNTPクライアントを動作モードとして明示的に設定できるようモード設定を追加しました。

これまでの動作

SEIL/X1 Ver.4.81 での動作

OBJ# interface lan2 address 192.168.1.123
OBJ# ntp server add 192.168.1.1
OBJ# ntp enable
OBJ# show status ntp
host info:
        status:   synchronized
        stratum:  5
        offset:   0.772ms
        jitter:   0.919ms
peer info:
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*192.168.1.1     192.168.1.11     4 u   29   64   37    0.359    0.772   1.837

このような動作状態で外部からSEILに対してNTPを参照すると、時刻に応答があります。

# ntpdate 192.168.1.123
 7 May 11:37:53 ntpdate[27482]: step time server 192.168.1.123 offset 168690663.592025 sec

NTPクライアントモードでの動作

新たに追加されたNTPクライアントモードの設定および動作は次のようになります。

OBJ# interface lan2 address 192.168.1.123
OBJ# ntp server add 192.168.1.1
OBJ# ntp mode client
OBJ# ntp enable
OBJ# show status ntp
function info:
        mode:  client
host info:
        status:   synchronized
        stratum:  5
        offset:   1.684ms
        jitter:   1.098ms
peer info:
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*192.168.1.1     192.168.1.11     4 u   17   64  377    0.361    3.381   1.239

• ntp mode client を設定することで、NTPサーバに対するメッセージに応答しなくなります。（未設定時はNTPサーバとしても動作します）
• show status に現在の動作モードを表示します（mode欄）

この状態で外部からこのSEILに対してNTPを参照すると、次のように応答しません。

# ntpdate 192.168.1.123
 1 Jan 01:11:11 ntpdate[27502]: no server suitable for synchronization found

ただし、現在のバージョンではSEILのUDPの123番ポートは開いており、受信したNTPメッセージを破棄しているだけです。

# hping -p 123 -k 192.168.1.123
HPING 192.168.1.123 (em0 192.168.1.123): NO FLAGS are set, 40 headers + 0 data bytes
len=46 ip=192.168.1.123 ttl=64 id=13 sport=123 flags=RA seq=0 win=0 rtt=0.8 ms

このように、123番ポートは応答してしまいます。

将来的には、ポート番号を変更可能とすることで、より安全に運用できるよう変更する予定です。

受信時に破棄するNTPのメッセージは以下の通りです。