Keselamatan NTP dengan Pengesahan dan Rujukan Masa Dipercayai

NTP (Protokol Masa Rangkaian) menyegerakkan rangkaian sumber masa tunggal menggunakan cap waktu untuk mewakili masa semasa hari, ini adalah penting untuk transaksi sensitif masa dan banyak aplikasi sistem seperti e-mel.

Oleh itu, NTP terdedah kepada ancaman keselamatan, sama ada dari penggodam berniat jahat yang ingin mengubah cap waktu untuk melakukan penipuan atau serangan DDoS (Dinyatakan Penafian Perkhidmatan - biasanya disebabkan oleh malware berniat jahat yang membanjiri pelayan dengan lalu lintas) yang menghalang akses pelayan.

Walau bagaimanapun, sebagai salah satu protokol tertua Internet dan telah dibangunkan selama lebih dari 25 tahun, NTP dilengkapi dengan langkah-langkah keselamatannya sendiri dalam bentuk pengesahan.

Pengesahan mengesahkan bahawa setiap tanda waktu telah datang dari rujukan masa yang dimaksudkan dengan menganalisis satu set kunci penyulitan bersetuju yang dihantar bersama-sama dengan maklumat masa. NTP, menggunakan penyulitan Mesej Digest (MD5) untuk un-menyulitkan kunci, menganalisis dan mengesahkan sama ada ia telah datang dari sumber masa yang dipercayai dengan mengesahkan ia terhadap satu set kunci dipercayai.

kunci pengesahan dipercayai disenaraikan dalam NTP fail konfigurasi server (ntp.conf) dan biasanya disimpan dalam fail ntp.keys. Fail kunci biasanya sangat besar tetapi kunci yang dipercayai memberitahu pelayan NTP yang set subset kunci aktif pada masa ini dan yang tidak. subset yang berbeza boleh diaktifkan tanpa menyunting fail ntp.keys menggunakan dipercayai-kunci arahan config.

Oleh itu, pengesahan adalah sangat penting dalam melindungi pelayan NTP daripada serangan berniat jahat; namun terdapat banyak rujukan masa yang pengesahan tidak boleh dipercayai.

Microsoft, yang telah memasang versi NTP dalam sistem operasi mereka sejak Windows 2000, sangat mengesyorkan bahawa sumber perkakasan digunakan sebagai rujukan masa kerana sumber Internet tidak dapat disahkan.

NTP sangat penting dalam memastikan rangkaian disegerakkan tetapi sama pentingnya menjaga sistem selamat. Walaupun pentadbir rangkaian menghabiskan ribuan dalam perisian anti-virus / malware banyak gagal untuk melihat kelemahan dalam pelayan masa mereka.

Banyak pentadbir rangkaian masih mengamanahkan sumber Internet untuk rujukan masa mereka. Walaupun ramai yang menyediakan sumber yang baik untuk masa UTC (Waktu Bersama Selaras - standard antarabangsa masa), seperti nist.gov, kekurangan pengesahan bermakna rangkaian terbuka untuk penyalahgunaan.

Sumber-sumber lain masa UTC adalah lebih selamat dan boleh digunakan dengan peralatan kos yang agak rendah. Cara yang paling mudah adalah dengan menggunakan pakar NTP GPS pelayan masa yang boleh disambungkan ke antena GPS dan menerima tanda waktu disahkan oleh satelit.

Pelayan masa GPS boleh memberikan ketepatan waktu UTC ke dalam beberapa nanodetik selagi antena mempunyai pandangan yang baik dari langit. Mereka agak murah dan isyarat disahkan memberikan rujukan masa yang selamat.

Alternatif terdapat beberapa siaran kebangsaan yang menghantar rujukan masa. Di UK ini disiarkan oleh Physics Laboratory Negara (NPL) dalam Cumbria. sistem yang sama beroperasi di Jerman, Perancis dan Amerika Syarikat. Manakala isyarat ini disahkan, ini transmisi radio terdedah kepada gangguan dan mempunyai pelbagai terhingga.

Pengesahan untuk NTP telah dibangunkan untuk mencegah berniat jahat mengganggu penyegerakan sistem seperti firewall telah dibangunkan untuk melindungi rangkaian dari serangan tetapi seperti mana-mana sistem keselamatan ia hanya berfungsi jika ia digunakan.

Jawatan ini telah ditulis oleh

Richard N Williams

Richard N Williams adalah seorang pengarang teknikal dan pakar dalam Server dan Waktu industri NTP Penyelarasan. Richard N Williams di Google+