Безопасность протокола сетевого времени
Суббота, октябрь 25th, 2008Протокол, используемый большинством сетевых серверов времени, является NTP (Network Time Protocol) и существует уже довольно долгое время, но он постоянно обновляется и развивается, предлагая все более высокие уровни точности и безопасности.
Синхронизация является неотъемлемой частью современных компьютерных сетей и необходима для обеспечения безопасности системы. Без NTP и синхронизации времени компьютерная сеть может быть уязвимой для злоумышленных атак и даже мошенничества.
Даже при полностью синхронизированной сетевой безопасности все еще может быть проблема, но есть несколько ключевых шагов, которые можно предпринять для обеспечения безопасности вашей сети.
Всегда используйте специальный Сервер Network Time, Хотя источники времени в Интернете являются обычным местом, они являются источником времени, расположенным вне брандмауэра. Это будет иметь очевидные обратные средства защиты, так как злоумышленник может воспользоваться «дырой», оставшейся в вашем брандмауэре, для связи с сервером NTP. Специальная NTP-сервером будет получать сигнал времени от внешнего источника.
Обычно эти типы выделенных серверов времени будут использовать либо сеть GPS (Глобальная система определения местоположения), либо специализированные национальные радиочастоты времени и частоты. Оба этих источника времени предлагают точный и надежный метод времени UTC (согласованное универсальное время), в то же время обеспечивая безопасность.
Еще один способ обеспечить безопасность - воспользоваться встроенным механизмом безопасности NTP - аутентификацией. Аутентификация - это набор зашифрованных ключей, которые используются, чтобы установить, исходит ли источник времени, откуда он пришел.
Аутентификация проверяет, что каждая метка исходит от предполагаемого эталона времени путем анализа набора согласованных ключей шифрования, которые передаются вместе с информацией о времени. NTP, с помощью шифрования Message Digest (MD5) для ип-шифрования ключа, анализирует его и подтверждает ли он пришел из надежного источника времени, проверив его с набором доверенных ключей.
Доверенные ключи аутентификации перечислены в файле конфигурации сервера NTP (ntp.conf) и хранятся в файле ntp.keys. Ключевой файл обычно очень большой, но доверенные ключи указывают серверу NTP, который в настоящий момент активен набором подмножеств ключей, а какие нет. Различные подмножества могут быть активированы без редактирования файла ntp.keys с помощью команды конфигурации доверенных ключей.
Аутентификация очень важна для защиты NTP-сервером от вредоносного нападения; однако источники времени Интернета не могут быть аутентифицированы, что удваивает риск использования интернет-ссылки на время.