Безопасность NTP с проверкой подлинности и надежными ссылками
Среды, января 16th, 2008NTP (Network Time Protocol) синхронизирует сети к одному источнику времени, используя временные метки представляют текущее время суток, это очень важно для чувствительных время операций и многих системных приложений, таких как электронная почта.
Таким образом, NTP уязвим для угроз безопасности, будь то злоумышленник, который хочет изменить временную метку, чтобы совершить мошенничество или атаку DDoS (распределенный отказ в обслуживании - обычно вызванный вредоносными программами, которые наводняют сервер с трафиком), который блокирует доступ к серверу.
Однако, будучи одним из старейших протоколов Интернета и был разработан более 25 лет, NTP оснащен собственными мерами безопасности в форме аутентификации.
Аутентификация проверяет, что каждая метка исходит от предполагаемого эталона времени путем анализа набора согласованных ключей шифрования, которые передаются вместе с информацией о времени. NTP, с помощью шифрования Message Digest (MD5) для ип-шифрования ключа, анализирует его и подтверждает ли он пришел из надежного источника времени, проверив его с набором доверенных ключей.
Доверенные ключи аутентификации указаны в конфигурации сервера файл NTP (ntp.conf) и, как правило, хранятся в файле ntp.keys. Ключевой файл, как правило, очень большой, но доверенные ключи сказать сервер NTP, какой набор подмножества ключей в настоящее время активен, и которые не являются. Различные подмножества могут быть активированы без редактирования ntp.keys файла с помощью команды конфигурации доверенных-ключей.
Поэтому аутентификация очень важна для защиты NTP-сервера от вредоносной атаки; однако есть много ссылок на время, которым аутентификации нельзя доверять.
Microsoft, которая установила версию NTP в своих операционных системах с Windows 2000, настоятельно рекомендует использовать источник аппаратного обеспечения в качестве ссылки на синхронизацию, поскольку источники Интернета не могут быть аутентифицированы.
NTP имеет жизненно важное значение для обеспечения синхронизации сетей, но в равной степени важно поддерживать безопасность систем. В то время как сетевые администраторы тратят тысячи антивирусных и вредоносных программ, многие не обнаруживают уязвимость на своих серверах времени.
Многие сетевые администраторы до сих пор доверяют интернет-источникам для их ссылки на время. В то время как многие из них обеспечивают хороший источник времени UTC (согласованное универсальное время - международный стандарт времени), например nist.gov, отсутствие аутентификации означает, что сеть открыта для злоупотреблений.
Другие источники времени UTC более безопасны и могут быть использованы при относительно низкой стоимости оборудования. Самый простой способ заключается в использовании специалиста сервера времени NTP GPS, который может подключаться к GPS-антенне и получить заверенную отметку времени со спутником.
Серверы времени GPS могут обеспечить точность времени UTC в течение нескольких наносекунд, если антенна имеет хороший вид на небо. Они относительно дешевы, и сигнал аутентифицирован, обеспечивая безопасную привязку времени.
В качестве альтернативы существует несколько национальных передач, которые передают ссылку времени. В Великобритании это транслируется в Национальной физической лаборатории (NPL) в Камбрии. Подобные системы работают в Германии, Франции и США. В то время как этот сигнал проходит проверку подлинности, эти радиопередачи уязвимы к помехам и имеют конечный диапазон.
Аутентификация для NTP была разработана для предотвращения вредоносных манипуляций с синхронизацией системы так же, как межсетевые экраны, были разработаны для защиты сетей от нападения, но, как и любой система безопасности работает только тогда, когда она используется.