如何為 Azure 服務停用輸入 UDP

NTP 中的 monlist 服務能夠執行查詢以取得偵錯資訊，而應該只能為了偵錯服務問題而暫時啟用。 此外，它能用來進行 UDP 反射攻擊。 根據預設，比 4.2.8 版舊的 NTP 精靈 (NTPD) 套件中會啟用這項服務。 使用者應依照此指引進行：

• 需要 monlist 的使用者應設定 NSG，以只允許存取必要的 IP 位址。

• 使用者若不需要 monlist 且在執行比 4.2.8 版舊的 Linux NTPD 套件，則應將套件更新至最新版本，並確認 monlist 並未啟用。 無法將套件更新至較新版本的使用者，請務必使用下列補救步驟來設定服務：

1. 檢查 NTPD 套件版本：

#sudo -i ntpq -c rv

1. 如果 NTPD 套件版本比 4.7p26 舊，請依照下列步驟進行：

#vi /etc/ntp.conf

1. 如果尚不存在，請新增下列這幾行：

restrict -4 default kod nomodify notrap nopeer noquery

restrict -6 default kod nomodify notrap nopeer noquery

1. 重新啟動 NTP 服務：

# service ntp restart [Debian/ Ubuntu]

# service ntpd restart [Redhat/ Centos]

執行對網際網路開放的 DNS 遞迴解析程式，可能導致使用者自己的或其他使用者的服務遭到 UDP 攻擊。 使用者應評估其是否真的有必要執行 DNS 服務。 若非如此，則應拒絕所有對連接埠 53 的存取，或將 DNS 服務解除安裝，請依照下列適用於其作業系統與 DNS 實作的指示進行。

確實需要執行 DNS 服務以提供權威名稱解析，但不需要 DNS 遞迴的使用者，應停用此功能，請依照下列適用於其作業系統與 DNS 實作的指示進行 (如本文稍後所提供)。 此外，強烈建議您在所有情況下，都將所有對 NSG 中連接埠 53 的存取，限制在一組以最低權限執行服務所需的特定 IP 位址。

Windows： 在 Windows Server 2012、2016 的 DNS 伺服器上，停用 DNS 遞迴解析程式

1. 開啟 [DSN 管理員] (選取 [開始]，指向 [系統管理工具]，然後選取 [DNS])。

2. 在主控台樹狀目錄中，以滑鼠右鍵按一下適用的 DNS 伺服器，然後選取 [內容]。

3. 選取 [進階] 索引標籤。

4. 在 [伺服器選項] 中，確認已選取 [停用遞迴] 核取方塊。

5. 重新啟動 DNS 服務 (從 [服務] 控制台)。

Linux： 在 Bind 伺服器上，停用 DNS 遞迴

1. 使用根認證，透過 SSH (安全殼層) 連線到伺服器。

2. 在連線到伺服器之後，檢查 named.conf 檔案是否有任何 DNS 遞迴，然後調查設定：
   

   cat /etc/named.conf | grep "recursion"

3. 使用文字編輯器開啟 named.conf 檔案，然後使用下列命令檢查遞迴的設定：
   

   #vi /etc/named.conf

4. 僅變更外部 DNS 遞迴的設定，然後找到名為 “external” 的區段。如果未提供該區段，您可以將下列各行加到 named.conf 檔案，以停用外部 DNS 遞迴。 請將下列各行放入 “options” 區段：
   

   allow-transfer {"none";};

   allow-recursion {"none";};

   recursion no;

   如果您已有 external 區段，您可以根據需求將 recursion 值變更為 yes 或 no。

5. 完成設定變更之後，請儲存該檔案。

6. 重新啟動 DNS 伺服器，使變更生效。 執行下列命令以重新啟動 DNS 服務：
   

   service named restart

   注意： 如果您使用任何其他專屬 DNS 伺服器，請參閱相關產品文件以停用 DNS 遞迴設定。

使用者應關閉高風險的輸入 UDP 連接埠，請依照本節中的指引進行。 建議使用者針對「所有」UDP 連接埠關閉來自網際網路的輸入連線。

必須對網際網路開放特定 UDP 連接埠的使用者，應該只開放該連接埠，並只限對那些絕對必要的 IP 範圍進行輸入存取 (也就是說，不向整個網際網路公開 UDP 連接埠)。

若要關閉 UDP 連接埠，使用者可以執行下列任一動作或兩者：

• 更新 ARM 範本以停用輸入 UDP。 此舉需要重新部署 NSG 範本。 不過，可確定使用此範本的未來部署會有正確的安全性設定。

• 更新 NSG 規則以限制網路存取。 請參閱 Azure 入口網站、Azure Powershell、Azure CLI。

資源： NSG 相關資訊、管理網路安全性群組 (NSG)

1. 安裝 Nmap。

2. 檢查防火牆設定，確定您允許輸出 UDP 流量以執行掃描。

3. 依照本節中如何執行掃描的 Nmap 指示進行。 使用者也可以使用 Zenmap GUI (安裝 Windows Nmap  時，一併安裝在桌面上的圖示)。

   1. 建立含有 IP 位址清單的 .csv 檔案，以掃描特定連接埠 (例如，連接埠 69)。

   2. 執行 Nmap 命令。 您可以納入這些選項： -sUV (UDP 連接埠) -T4 -p {要掃描的連接埠} -Pn {將主機全都視為線上主機} -iL {輸入清單} -oL {輸出清單} & (要在背景中執行的選擇性旗標)：
      
      nmap -sUV -T4 -Pn -p 69 -iL filename.csv -oX filename.xml &
      

   3. 檢查反射攻擊中最常使用的連接埠：
      
      nmap -sUV -T4 -Pn -p17,19,53,69,111,123,137,161,389,1900,5353,11211 -iL filename.csv -oX filename.xml &

   4. 檢閱結果以識別任何開放連接埠。

1. 透過套件管理員或從 https://nmap.org/download.html 來安裝 Nmap。

Ubuntu / Debian：

sudo apt-get update
sudo apt-get install nmap

Redhat / CentOS：

yum update
yum install nmap [Redhat/ Centos]

1. 使用下列 Nmap 命令以驗證已知 UDP 連接埠：

   1. 建立含有 IP 位址清單的 .csv 檔案，以掃描特定連接埠 (例如，連接埠 69)。

   2. 使用 pscp 命令，將 .csv 檔案上傳至 Linux VM：
      
      pscp filename.csv admin@remotehost:filename.csv

   3. 執行納入選項的 sudo nmap 命令，包括：-sUV (UDP 連接埠) -T4 -p {要掃描的連接埠} -Pn {將主機全都視為線上主機} -iL {輸入清單} -oL {輸出清單} & (要在背景中執行的選擇性旗標)：
      
      sudo nmap -sUV -T4 -Pn -p 69 -iL filename.csv -oX filename.xml &

   4. 檢查反射攻擊中最常使用的連接埠：
      
      sudo nmap -sUV -T4 -Pn -p17,19,53,69,111,123,137,161,389,1900,5353,11211 -iL filename.csv -oX filename.xml &

   5. 完成程序時，請使用 pscp 命令來下載檔案。

   6. 檢閱結果以識別任何開放連接埠。
      

將所有連接埠關閉，從命令行執行 Windows 掃描。

注意： 由於這是 Nmap UDP 掃描，所以可將 "open|filtered" 解譯為「已關閉」。

下列命令會執行 Windows 掃描：

C:\Users\user\DeskTop>nmap -sUV -T4 -Pn -p17,19,53,69,111,123,137,161,389,1900,5353,11211 23.36.53.224

將 DNS 開啟，針對 1.1.1.1 執行 Linux 掃描。 請注意，DNS 連接埠 53 並未顯示指出連接埠處於關閉的 "open|filtered"。 不過，其他連接埠均顯示為 "open|filtered"。 這表示其均已關閉。

下列命令會執行 Linux 掃描：

testuser@testUbuntu:~$ sudo nmap -sUV -T4 -Pn -p17,19,53,69,111,123,137,161,389,1900,5353,11211 1.1.1.1

若要掃描開放 DNS 遞迴解析程式：

nmap -sUV -Pn -T4 -p 53 --script=dns-recursion -iL <input_file> -oX <output_file>

對於單一 IP 位址：

nmap –sU –p53 –script=dns-recursion <Public IP address>

比 4.2.8  版舊的 NTPD 套件容易受到透過 monlist 命令進行的反射攻擊。 如果已設定 “restrict noquery”，monlist 反射攻擊就無法得逞。

可識別弱點的 Nmap 指令碼：

nmap -sUV -Pn -T4 -p 123 --script= ntp-monlist -iL <input_file> -oX <output_file>

對於單一 IP 位址：

nmap -sU -pU:123 -Pn -n --script=ntp-monlist <Public IP address>

nmap -sU -p389 -v -n -Pn <Public IP address>

顯示公開的 LDAP 資訊：

nmap -p 389 --script ldap-rootdse <Public IP address>

這不是建議使用的設定。 不過，如果使用者有相依服務，則應根據下列指引使用簽署功能，增加額外的安全性：

• https://support.microsoft.com/zh-tw/help/935834/how-to-enable-ldap-signing-in-windows-server

• ​https://portal.msrc.microsoft.com/zh-tw/security-guidance/advisory/ADV190023

使用者應使用下列文件，以了解如何為 Azure VM 設定時間同步。 如果使用者所用的 Linux 或 Windows NTPD 套件易受攻擊，則應該更新至最新版本。

• https://docs.microsoft.com/zh-tw/azure/virtual-machines/windows/time-sync#opt-in-for-host-only-time-sync

• https://docs.microsoft.com/zh-tw/azure/virtual-machines/linux/time-sync

使用 Azure 網路監看員，了解如何進行疑難排解： https://docs.microsoft.com/zh-tw/azure/network-watcher/network-watcher-connectivity-overview

否。這些都是 UDP 服務的標準連接埠。 不過，在另一個連接埠號碼上能接聽任一服務，否則伺服器可能存在連接埠從另一個來源連接埠轉送的負載平衡器後方。

請參閱 UDP 放大： https://www.us-cert.gov/ncas/alerts/TA14-017A