NTP NTPsec 1.2.0 ja Chrony 4.0 saapuvat suojatun NTS-protokollan tuella

- työryhmä Internet-suunnittelu (IETF), joka vastaa Internet-protokollien ja arkkitehtuurin kehittämisestä, on saattanut päätökseen RFC: n muodostamisen verkkoajan suojausprotokollaa varten (NTS) ja on julkaissut tunnisteeseen RFC 8915 liittyvän eritelmän.

RFC sai statuksen "Vakioehdotus", jonka jälkeen työ alkaa antaa RFC: lle standardiluonnoksen asema, mikä tarkoittaa itse asiassa protokollan täydellistä vakauttamista ja ottaen huomioon kaikki esitetyt kommentit.

NTS-standardointi on tärkeä askel ajansynkronointipalvelujen turvallisuuden parantamiseksi ja suojaa käyttäjiä hyökkäyksiltä, ​​jotka jäljittelevät NTP-palvelinta, johon asiakas muodostaa yhteyden.

Hyökkääjien manipulointia väärän ajan asettamiseksi voidaan käyttää muiden aikaherkkien protokollien, kuten TLS: n, turvallisuuden vaarantamiseen. Esimerkiksi ajan muuttaminen voi johtaa väärään TLS-varmenteiden kelpoisuustietojen tulkintaan.

Tähän asti NTP ja viestintäkanavien symmetrinen salaus eivät takaa, että asiakas on vuorovaikutuksessa kohteen kanssa eikä väärennetyn NTP-palvelimen kanssa, eikä avaintodennus ole mennyt valtavirtaan, koska sen asettaminen on liian monimutkaista.

Viime kuukausien aikana olemme nähneet monia aikapalvelumme käyttäjiä, mutta hyvin harvat käyttävät verkon aikaturvaa. Tämä jättää tietokoneet alttiiksi hyökkäyksille, jotka matkivat palvelinta, jota he käyttävät NTP: n hankkimiseksi. Osa ongelmasta oli NTS: ää tukevien käytettävissä olevien NTP-demonien puute. Tämä ongelma on nyt ratkaistu: sekä chrony että ntpsec tukevat NTS: ää.

NTS käyttää julkisen avaimen infrastruktuurin elementtejä (PKI) ja sallii TLS: n ja todennetun salauksen yhdistettyihin tietoihin (AEAD) suojaamaan asiakkaan ja palvelimen välinen viestintä salauksella verkon aikaprotokollan (NTP) kautta.

NTS sisältää kaksi erillistä protokollaa: NTS-KE (NTS-avaimen luominen alkutodennuksen ja avaimenne neuvottelemiseksi TLS: n kautta) ja NTS-EF (NTS-laajennuskentät, jotka vastaavat ajan synkronointiistunnon salaamisesta ja todentamisesta).

NTS lisätä useita laajennettuja kenttiä NTP-paketteihin ja se tallentaa kaikki tilatiedot vain asiakaspuolelle evästeiden lähetysmekanismin avulla. Verkkoportti 4460 on omistettu NTS-yhteyksien käsittelylle.

Aika on turvallisuuden perusta monille protokollille, kuten TLS: lle, joihin luotamme suojellaksemme elämäämme verkossa. Ilman tarkkaa aikaa ei ole mitään keinoa selvittää, ovatko tunnistetiedot vanhentuneet. Helposti toteutettavan suojatun aikaprotokollan puuttuminen on ollut ongelma Internet-turvallisuudessa.

Standardoidun NTS: n ensimmäisiä toteutuksia ehdotettiin äskettäin julkaistuissa NTPsec 1.2.0- ja Chrony 4.0 -versioissa.

Chrony tarjoaa erillisen NTP-asiakas- ja palvelintoteutuksen, jota käytetään tarkan ajan synkronointiin eri Linux-jakeluissa, mukaan lukien Fedora, Ubuntu, SUSE / openSUSE ja RHEL / CentOS.

NTPsec kehitetään Eric S. Raymondin johdolla ja on NTPv4-protokollan (NTP Classic 4.3.34) referenssitoteutuksen haarukka, joka keskittyy koodipohjan uudelleensuunnitteluun turvallisuuden parantamiseksi (vanhentuneen koodin puhdistus, tunkeutumisen estämismenetelmät ja suojatut toiminnot) toimivat muistin ja ketjujen kanssa).

Ilman NTS: ää tai symmetristä avaimen todennusta ei voida taata, että tietokoneesi todella puhuu NTP: tä sen tietokoneen kanssa, jonka luulet olevan. Symmetrisen avaimen todennusta on vaikea ja tuskallinen määrittää, mutta viime aikoihin asti se oli ainoa turvallinen ja standardoitu mekanismi NTP: n todentamiseen. NTS käyttää julkisen avaimen verkkoinfrastruktuuriin menevää työtä todentaakseen NTP-palvelimet ja varmista, että kun määrität tietokoneesi puhumaan time.cloudflare.com -palvelun kanssa, se on palvelin, josta tietokoneesi saa aikaa.

Jos haluat tietää enemmän siitä, voit tarkistaa yksityiskohdat Seuraavassa linkissä.


Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.