<div dir="ltr"><br><div class="gmail_quote"><div dir="ltr">On Sun, May 27, 2018 at 11:56 AM Hal Murray via devel <<a href="mailto:devel@ntpsec.org">devel@ntpsec.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
Eric said:<br>
> SINGLESOCK:  While messy and somewhat difficult, this is mostly a SMOP<br>
> (Simple Matter of Programming). There is one potential technical risk,<br>
> relatively minor I think.<br>
<br>
> The reason for iterating over interfaces is that ntpd has the capability to<br>
> block incoming packets by interface of origin. In order to go to a single<br>
> epoll we either need to (a) abandon this feature, or (b) find a way to query<br>
> the device a packet came through from the packet. <br>
<br>
Could that feature be moved to a packet filter?  I think most OSes support <br>
some form of kernel level packet filtering.  I'm not familiar with any <br>
details.<br>
<br>
Does anybody use interface filtering?<br></blockquote><div><br></div><div>No modern sysadmin or devops shop is going to use or trust an userspace packet filter built into the userspace daemon they are defending.<br></div><div><br></div><div>Direct-internet-connected boxes are going to use the kernel packet policy filter, and drop the packet before it ever reaches the daemon.</div><div><br></div><div>Site-connected boxes are going to use their edge switch filters, and then maybe will use the kernel packet filter as a security alarm trip.</div><div><br></div><div>Cloud-connected instances are going to use their cloud provider packet control APIs to permit inbound NTP packets, may run a policy relay instance on their VPC chokepoint, and again maybe will use the kernel packet filter.</div><div><br></div><div>This is an ancient feature that is a fossil evidence that NTP was a known security tarpit predating the widespread deployment of the kernel packet filter or edge switch filters.</div><div><br></div><div>We will drop this feature.</div><div><br></div><div>We can explain why, and every netadmin and devops manager will agree with the reason.</div><div><br></div><div>..m</div><div><br></div></div></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><p dir="ltr">Mark Atwood<br>
<a href="http://about.me/markatwood">http://about.me/markatwood</a><br>
+1-206-604-2198</p>
</div></div>