نتب الأمن مع مصادقة ووقت موثوق المراجع
منشور من طرف ريتشارد ن ويليامز on يناير 16th، 2008
NTP (بروتوكول وقت الشبكة) على مزامنة شبكات لمصدر وقت واحد باستخدام الطوابع الزمنية لتمثيل الوقت الحالي من اليوم، وهذا أمر ضروري للمعاملات الحساسة الوقت والعديد من التطبيقات مثل نظام البريد الإلكتروني.
نتب وبالتالي عرضة للتهديدات الأمنية، سواء من القراصنة الخبيثة الذي يريد تغيير الطابع الزمني لارتكاب الاحتيال أو هجوم دوس (الموزعة الحرمان من الخدمة - عادة ما تسببها البرامج الضارة الخبيثة التي تغمر خادم مع حركة المرور) الذي يمنع الوصول إلى الخادم.
ومع ذلك، كونها واحدة من أقدم بروتوكولات الإنترنت، وقد وضعت لأكثر من سنوات شنومكس، وقد تم تجهيز نتب مع التدابير الأمنية الخاصة بها في شكل مصادقة.
تتحقق مصادقة كل زمني قد حان من الإسناد الزمني المقصود عن طريق تحليل مجموعة من مفاتيح التشفير وافق التي يتم إرسالها جنبا إلى جنب مع معلومات الوقت. NTP، وذلك باستخدام ملخص الرسالة التشفير (MD5) لبرنامج الأمم المتحدة للتشفير المفتاح، ويحلل ذلك، ويؤكد ما إذا كان قد تأتي من مصدر موثوق به الوقت من خلال التحقق ضد مجموعة من مفاتيح موثوق به.
وترد مفاتيح المصادقة موثوق به في NTP ملف تكوين الملقم (ntp.conf) وعادة يتم تخزينها في ملف ntp.keys. الملف الرئيسي هو عادة كبيرة جدا ولكن مفاتيح موثوق به يقول خادم NTP أي مجموعة من فرعية من مفاتيح حاليا نشاطا والتي ليست كذلك. مجموعات فرعية مختلفة يمكن تفعيلها دون تحرير ملف ntp.keys باستخدام مفاتيح موثوق قيادة التكوين.
ولذلك فإن المصادقة مهمة جدا في حماية خادم نتب من هجوم ضار؛ ولكن هناك العديد من المراجع الوقت كانت المصادقة لا يمكن الوثوق بها.
مايكروسوفت، الذي قام بتثبيت إصدار نتب في أنظمة التشغيل الخاصة بهم منذ ويندوز شنومكس، توصي بشدة باستخدام مصدر الأجهزة كمرجع توقيت كمصادر إنترنت لا يمكن مصادقة.
نتب أمر حيوي في الحفاظ على الشبكات متزامنة ولكن بنفس القدر من الأهمية هو حفظ النظم آمنة. في حين أن مسؤولي الشبكة قضاء الآلاف في مكافحة الفيروسات / البرمجيات الخبيثة العديد من فشل في اكتشاف الضعف في خوادم الوقت.
ولا يزال العديد من مسؤولي الشبكة يعهدون إلى مصادر الإنترنت بمراجعهم الزمنية. في حين أن العديد من توفر مصدرا جيدا للوقت أوتك (التوقيت العالمي المنسق - المعيار الدولي للوقت)، مثل nist.gov، وعدم وجود مصادقة يعني الشبكة مفتوحة للإساءة.
مصادر أخرى من وقت UTC هي أكثر أمنا، ويمكن الاستفادة منها مع أجهزة منخفضة التكلفة نسبيا. أسهل طريقة هي استخدام متخصص NTP GPS خادم الوقت الذي يمكن الاتصال هوائي GPS والحصول على الطابع الزمني مصادقة بواسطة الأقمار الصناعية.
يمكن أن توفر خوادم الوقت غس دقة الوقت أوتك إلى داخل نانو ثانية قليلة طالما هوائي لديه منظر جيد للسماء. فهي رخيصة نسبيا ويتم مصادقة الإشارة توفير مرجع وقت آمن.
بدلا من ذلك هناك العديد من الإذاعات الوطنية التي تنقل إشارة الوقت. في المملكة المتحدة يتم بث هذا عن طريق مختبر الفيزياء الوطني (NPL) في كمبريا. نظم مماثلة تعمل في ألمانيا وفرنسا والولايات المتحدة. في حين مصادقة هذه الإشارة، هذه البث الإذاعي عرضة للتدخل ولديها مجموعة محدودة.
وقد تم تطوير مصادقة NTP لمنع خبيثة العبث تزامن النظام تماما كما وضعت الجدران النارية لحماية الشبكات من الهجمات ولكن كما هو الحال مع أي نظام الأمن أنها لا تعمل إلا إذا تم استغلاله.