시간 동기화가 어떻게 안전해졌나요?

TCP/IP를 통해 수많은 크고 작은 장치가 상호 작용하는 경우, 시간이 실제로는 정확하지 않다는 것을 어떻게 보장할 수 있을까요? 각 장치에는 시계가 있으며, 모든 장치의 시간은 정확해야 합니다. ntp 없이는 이 문제를 해결할 수 없습니다.

산업 IT 인프라의 한 부분에서 시간별 서비스 동기화에 어려움이 있다고 가정해 보겠습니다. 엔터프라이즈 소프트웨어의 클러스터 스택이 즉시 장애를 일으키고, 도메인이 손상되고, 마스터 노드와 스탠바이 노드가 현상 유지를 복구하려고 시도하지만 실패합니다.

공격자가 의도적으로 MiTM 또는 DDOS 공격을 통해 시간을 지연시키려 할 가능성도 있습니다. 이러한 상황에서는 다음과 같은 일이 발생할 수 있습니다.

• 사용자 계정 비밀번호가 만료됩니다.
• X.509 인증서가 만료됩니다.
• TOTP 2단계 인증이 더 이상 작동하지 않습니다.
• 백업은 "오래된" 것이 되고 시스템에서 삭제됩니다.
• DNSSec이 작동하지 않습니다.

모든 1차 IT 부서가 시간 동기화 서비스의 안정적인 운영에 관심을 갖고 있는 것은 분명하며, 산업 운영에서 시간 동기화 서비스가 안정적이고 안전하다면 좋을 것입니다.

25분 안에 NTP를 깨세요

네트워크 프로토콜 - 밀레니얼 세대는 한 가지 공통점을 가지고 있습니다. 그들은 오랫동안 시대에 뒤진 그리고 더 이상 아무 쓸모가 없지만, 상당한 열광자와 자금이 모였다 하더라도 이를 대체하는 것은 쉽지 않습니다.

기존 NTP의 주요 문제점은 악의적인 공격으로부터 보호하는 신뢰할 수 있는 메커니즘이 부족하다는 것입니다. 이 문제를 해결하기 위한 다양한 시도가 있었습니다. 이를 위해 대칭 키 교환을 위한 사전 설정 키(PSK) 메커니즘이 처음 도입되었습니다.

안타깝게도 이 방법은 간단한 이유 때문에 효과가 없었습니다. 확장성이 좋지 않기 때문입니다. 서버에 따라 클라이언트 측에서 수동 구성이 필요합니다. 즉, 다른 클라이언트를 추가할 수 없습니다. NTP 서버에 변경 사항이 발생하면 모든 클라이언트를 다시 구성해야 합니다.

그러다가 AutoKey라는 알고리즘을 개발했지만, 알고리즘 설계 자체에서 여러 심각한 취약점이 발견되어 결국 폐기되었습니다. 문제는 초기 숫자(시드)가 32비트밖에 되지 않아 무차별 대입 공격(brute-force attack)에 필요한 계산 복잡도가 충분하지 않다는 것입니다.

• 키 ID는 대칭 32비트 키입니다.
• MAC(메시지 인증 코드) - NTP 패킷의 체크섬

Autokey는 다음과 같이 계산됩니다.

Autokey=H(Sender-IP||Receiver-IP||KeyID||Cookie)

여기서 H()는 암호화 해시 함수입니다.

패킷의 체크섬을 계산하는 데에도 동일한 함수가 사용됩니다.

MAC=H(Autokey||NTP packet)

패킷 검사의 무결성은 쿠키의 진위 여부에 달려 있습니다. 쿠키를 캡처하면 자동 키를 복원하고 MAC을 위조할 수 있습니다. 그러나 NTP 서버는 쿠키를 생성할 때 초기 번호(시드)를 사용합니다. 바로 여기에 문제가 있습니다.

Cookie=MSB_32(H(Client IP||Server IP||0||Server Seed))

MSB_32 함수는 md5 해시 계산 결과에서 상위 32비트를 잘라냅니다. 서버 매개변수가 변경되지 않는 한 클라이언트 쿠키는 변경되지 않습니다. 그러면 공격자는 초기 값만 복원하고 쿠키를 독립적으로 생성할 수 있습니다.

먼저, 클라이언트로 NTP 서버에 접속하여 쿠키를 가져옵니다. 그 후, 공격자는 간단한 알고리즘을 사용하여 초기 숫자를 복구합니다.

무차별 대입 공격을 이용해 초기 숫자를 공격하는 알고리즘입니다.

   for i=0:2^32 − 1 do
        Ci=H(Server-IP||Client-IP||0||i)
        if Ci=Cookie then
            return i
        end if 
    end for

IP 주소는 알려져 있으므로, 생성된 쿠키가 NTP 서버에서 수신한 쿠키와 일치할 때까지 2^32번의 해시를 생성하는 것만 남았습니다. Intel Core i5 프로세서가 장착된 일반적인 가정용 기기에서는 이 작업에 25분이 걸립니다.

NTS — 새로운 Autokey

Autokey에서는 이러한 보안 취약점을 참는 것이 불가능했으며 2012년에는 새 버전 프로토콜입니다. 이름을 손상시키기 위해 브랜드를 변경하기로 결정했고, Autokey v.2는 네트워크 시간 보안(Network Time Security)으로 명명되었습니다.

NTS 프로토콜은 NTP의 보안 확장 프로토콜로, 현재 유니캐스트 모드만 지원합니다. 패킷 조작으로부터 강력한 암호화 보호 기능을 제공하고, 스누핑을 방지하며, 확장성이 뛰어나고, 네트워크 패킷 손실에 대한 복원력이 뛰어나며, 연결 보안 과정에서 정확도 손실이 가장 적습니다.

NTS 연결은 두 단계로 구성되며, 각 단계에서는 하위 수준 프로토콜이 사용됩니다. 첫 번째 이 단계에서 클라이언트와 서버는 다양한 연결 매개변수에 동의하고 모든 관련 데이터가 포함된 키가 포함된 쿠키를 교환합니다. 두 번째 이 단계에서 실제 보안 NTS 세션은 클라이언트와 NTP 서버 사이에서 이루어집니다.

NTS는 두 가지 하위 계층 프로토콜로 구성됩니다. TLS를 통해 보안 연결을 초기화하는 네트워크 시간 보안 키 교환(NTS-KE)과 NTP 프로토콜의 최신 버전인 NTPv4입니다. 자세한 내용은 아래에서 설명합니다.

첫 번째 단계 - NTS KE

이 단계에서 NTP 클라이언트는 별도의 TCP 연결을 통해 NTS KE 서버와 TLS 1.2/1.3 세션을 시작합니다. 이 세션 동안 다음 작업이 수행됩니다.

• 당사자들은 매개변수를 결정합니다. AEAD 두 번째 단계의 알고리즘.
• 각 당사자는 두 번째 하위 수준 프로토콜을 정의하고 있지만 현재는 NTPv4만 지원됩니다.
• 당사자들은 NTP 서버의 IP 주소와 포트를 결정합니다.
• NTS KE 서버는 NTPv4에서 쿠키를 발행합니다.
• 당사자들은 쿠키 자료에서 대칭 키 쌍(C2S 및 S2C)을 추출합니다.

이 접근 방식은 비밀 연결 매개변수 정보 전송의 모든 부담을 검증되고 안정적인 TLS 프로토콜에 전가한다는 점에서 큰 장점이 있습니다. 따라서 안전한 NTP 핸드셰이크를 위해 새로운 기술을 도입할 필요가 없습니다.

2단계 - NTS 보호 하의 NTP

두 번째 단계에서 클라이언트는 NTP 서버와 시간을 안전하게 동기화합니다. 이를 위해 NTPv4 패킷 구조에 네 개의 특수 확장 필드를 전송합니다.

• 고유 식별자 확장에는 재생 공격을 방지하기 위한 무작위 nonce가 포함되어 있습니다.
• NTS 쿠키 확장에는 클라이언트가 보유한 NTP 쿠키 중 하나가 포함되어 있습니다. 클라이언트만 대칭 AAED 키 C2S와 S2C를 가지고 있으므로 NTP 서버는 쿠키 자료에서 이 키들을 추출해야 합니다.
• NTS 쿠키 플레이스홀더 확장은 클라이언트가 서버에 추가 쿠키를 요청할 수 있는 방법입니다. 이 확장은 NTP 서버의 응답이 요청보다 훨씬 길지 않도록 하는 데 필수적이며, 증폭 공격을 방지하는 데 도움이 됩니다.
• NTS 인증자 및 암호화된 확장 필드 확장에는 C2S 키, NTP 헤더, 타임스탬프, 그리고 위에서 언급한 EF를 지원하는 데이터로 사용하는 AAED 알고리즘 암호가 포함되어 있습니다. 이 확장 기능이 없으면 타임스탬프를 위조할 수 있습니다.

클라이언트로부터 요청을 수신한 후, 서버는 NTP 패킷의 진위 여부를 확인합니다. 이를 위해 쿠키를 복호화하고 AAED 알고리즘과 키를 추출해야 합니다. NTP 패킷의 유효성을 성공적으로 확인한 후, 서버는 다음 형식으로 클라이언트에게 응답합니다.

• 고유 식별자 확장은 클라이언트 요청의 미러 복사본으로, 재생 공격에 대한 대책입니다.
• NTS 쿠키 확장 세션을 계속하려면 더 많은 쿠키가 필요합니다.
• NTS 인증자 및 암호화된 확장 필드 확장에는 S2C 키가 포함된 AEAD 암호가 포함되어 있습니다.

두 번째 핸드셰이크는 첫 번째 단계를 거치지 않고 여러 번 반복할 수 있습니다. 각 요청과 응답은 클라이언트에게 추가 쿠키를 제공하기 때문입니다. 이는 PKI 데이터를 계산하고 전송하는 데 필요한 리소스가 상대적으로 많은 TLS 작업을 반복 요청 횟수만큼 나누어 처리한다는 장점이 있습니다. 이는 모든 기본 기능을 대칭 암호화 분야의 여러 함수로 통합하여 전체 TLS 스택을 다른 장치로 전송할 수 있는 특수 FPGA 클록에 특히 유용합니다.

NTPSec

NTP의 특별한 점은 무엇일까요? 이 프로젝트의 저자인 데이브 밀스가 코드를 최대한 자세히 문서화하려고 노력했음에도 불구하고, 35년 전 시간 동기화 알고리즘의 복잡한 내용을 이해할 수 있는 프로그래머는 드뭅니다. 일부 코드는 POSIX 시대 이전에 작성되었으며, 유닉스 API는 오늘날 사용되는 것과 매우 달랐습니다. 또한, 잡음이 많은 회선에서 발생하는 간섭 신호를 제거하기 위해서는 통계 지식이 필요합니다.

NTS가 NTP를 수정하려는 첫 번째 시도는 아니었습니다. 공격자들이 NTP 취약점을 악용하여 DDoS 공격을 증폭시키는 방법을 알게 되자, 근본적인 변화가 필요하다는 것이 분명해졌습니다. NTS 초안이 준비되고 마무리되는 동안, 미국 국립과학재단(NSF)은 2014년 말 NTP 현대화를 위한 보조금을 긴급히 지원했습니다.

작업 그룹의 책임자는 바로 다음과 같습니다. 에릭 스티븐 레이먼드 — 오픈 소스 커뮤니티의 창립자이자 기둥 중 한 명이자 이 책의 저자 대성당과 바자르에릭과 그의 동료들이 가장 먼저 시도한 것은 NTP 코드를 BitKeeper 플랫폼에서 git으로 옮기는 것이었지만, 그렇게 되지는 않았습니다. 프로젝트 리더인 할란 스텐은 이 결정에 반대했고, 협상은 교착 상태에 빠졌습니다. 결국 프로젝트 코드를 포크하기로 결정했고, 그렇게 NTPSec이 탄생했습니다.

GPSD, 수학적 배경, 그리고 고대 코드를 읽는 마법 같은 능력을 포함한 탄탄한 배경 지식을 갖춘 에릭 레이먼드는 이러한 프로젝트를 성공적으로 수행할 수 있는 해커였습니다. 팀은 코드 마이그레이션 전문가를 찾았고, 단 10주 만에 NTP를 구축했습니다. 정착 한GitLab에서 작업이 활기를 띠기 시작했습니다.

에릭 레이먼드의 팀은 마치 오귀스트 로댕이 바위를 다루듯 문제를 해결했습니다. 175 KLOC에 달하는 기존 코드를 제거함으로써 공격 표면을 크게 줄이고 많은 보안 허점을 없앨 수 있었습니다.

영향을 받은 사람들의 일부 목록은 다음과 같습니다.

• 문서화되지 않았거나, 쓸모없거나, 오래되었거나, 고장난 참조 클럭.
• 사용하지 않는 ICS 라이브러리.
• libopts/autogen.
• Windows용 오래된 코드입니다.
• ntpdc.
• 오토키.
• ntpq를 Python으로 다시 작성한 C 코드.
• C 코드 sntp/ntpdig를 Python으로 다시 작성했습니다.

코드 정리 외에도 프로젝트에는 다른 작업들이 있었습니다. 다음은 성과 목록 중 일부입니다.

• 버퍼 오버플로우에 대한 코드 보호 기능이 크게 강화되었습니다. 버퍼 오버플로우를 방지하기 위해 모든 안전하지 않은 문자열 함수(strcpy / strcat / strtok / sprintf / vsprintf / gets)가 버퍼 크기 제한을 구현하는 안전한 버전으로 대체되었습니다.
• NTS 지원이 추가되었습니다.
• 물리적 하드웨어 바인딩을 통해 시간 단위 정확도가 10배 향상되었습니다. 이는 최신 컴퓨터 시계가 NTP가 처음 도입되었을 당시의 시계보다 훨씬 정확해졌기 때문입니다. 이러한 기술의 가장 큰 수혜자는 GPSDO와 전용 무선 시간국입니다.
• 프로그래밍 언어의 수가 두 가지로 줄었습니다. Perl, awk, 심지어 S 스크립트까지 모두 Python으로 대체되었습니다. 덕분에 코드 재사용 가능성이 더 높아졌습니다.
• AutoTools 스크립트의 국수 대신 프로젝트는 소프트웨어 빌드 시스템을 사용하기 시작했습니다. waf.
• 프로젝트 문서를 업데이트하고 재구성했습니다. 일관성이 없고 때로는 구식인 문서 모음을 바탕으로, 꽤 괜찮은 문서를 만들었습니다. 모든 명령줄 스위치와 모든 구성 엔터티는 이제 단일 버전의 진실을 갖습니다. 또한, 매뉴얼 페이지와 웹 문서는 이제 동일한 핵심 파일에서 생성됩니다.

NTPSec은 여러 Linux 배포판에서 사용할 수 있습니다. 현재 최신 안정 버전은 1.1.8이며, Gentoo Linux의 경우 두 번째로 최신 버전입니다.

(1:696)$ sudo emerge -av ntpsec
These are the packages that would be merged, in order:
Calculating dependencies... done!
[ebuild   R    ] net-misc/ntpsec-1.1.7-r1::gentoo  USE="samba seccomp -debug -doc -early -gdb -heat -libbsd -nist -ntpviz -rclock_arbiter -rclock_generic -rclock_gpsd -rclock_hpgps -rclock_jjy -rclock_local -rclock_modem -rclock_neoclock -rclock_nmea -rclock_oncore -rclock_pps -rclock_shm -rclock_spectracom -rclock_trimble -rclock_truetime -rclock_zyfer -smear -tests" PYTHON_TARGETS="python3_6" 0 KiB
Total: 1 package (1 reinstall), Size of downloads: 0 KiB
Would you like to merge these packages? [Yes/No]

크로니

기존 NTP를 더 안전한 아날로그 방식으로 대체하려는 또 다른 시도가 있었습니다. NTPSec과 달리 Chrony는 처음부터 개발되었으며 불안정한 네트워크 연결, 부분적인 가용성 또는 네트워크 과부하, 온도 변화 등 다양한 환경에서 안정적으로 작동하도록 설계되었습니다. 또한 Chrony는 다음과 같은 장점을 가지고 있습니다.

• chrony는 시스템 시계를 더 빠르고 정확하게 동기화할 수 있습니다.
• chrony는 크기가 더 작고 메모리 사용량이 적으며 필요할 때만 프로세서에 접근합니다. 이는 리소스와 에너지를 절약하는 데 큰 장점입니다.
• chrony는 Linux에서 하드웨어 타임스탬프를 지원하므로 로컬 네트워크에서 매우 정확한 동기화가 가능합니다.

하지만 Chrony는 브로드캐스트 및 멀티캐스트 클라이언트/서버와 같은 기존 NTP의 일부 기능이 부족합니다. 또한, 기존 NTP는 더 많은 OS와 플랫폼을 지원합니다.

서버 기능과 chronyd 프로세스에 대한 NTP 요청을 비활성화하려면 chrony.conf 파일에 포트 0을 지정하기만 하면 됩니다. 이는 NTP 클라이언트나 피어의 시간을 유지할 필요가 없는 경우에 사용됩니다. 2.0 버전부터 NTP 서버 포트는 allow 지시어 또는 해당 명령에 의해 액세스가 허용되거나, NTP 피어가 구성되거나, broadcast 지시어가 사용될 때만 열립니다.

이 프로그램은 두 개의 모듈로 구성되어 있습니다.

• chronyd는 시스템 시계와 외부 시간 서버 간의 시간 차이 정보를 수신하여 로컬 시간을 조정하는 백그라운드 서비스입니다. 또한 NTP 프로토콜을 구현하며 클라이언트 또는 서버 역할을 할 수 있습니다.
• chronyc는 프로그램을 모니터링하고 제어하는 ​​명령줄 유틸리티입니다. 다양한 서비스 매개변수를 미세 조정하는 데 사용됩니다. 예를 들어, chronyd가 실행되는 동안 NTP 서버를 추가하거나 제거할 수 있습니다.

RedHat Linux 버전 7부터 использует chrony는 시간 동기화 서비스입니다. 이 패키지는 다른 Linux 배포판에서도 사용할 수 있습니다. 최신 안정 버전은 3.5이며, 4.0 버전은 현재 준비 중입니다.

(1:712)$ sudo emerge -av chrony
These are the packages that would be merged, in order:
Calculating dependencies... done!
[binary  N     ] net-misc/chrony-3.5-r2::gentoo  USE="adns caps cmdmon ipv6 ntp phc readline refclock rtc seccomp (-html) -libedit -pps (-selinux)" 246 KiB
Total: 1 package (1 new, 1 binary), Size of downloads: 246 KiB
Would you like to merge these packages? [Yes/No]

사무실 네트워크의 시간을 동기화하기 위해 인터넷에 원격 크로니 서버를 설정하는 방법입니다. 아래는 VPS에 설정하는 예시입니다.

VPS에서 RHEL/CentOS에 Chrony를 설정하는 예

이제 VPS에서 NTP 서버를 직접 구축해 보겠습니다. 아주 간단합니다. RuVDS 웹사이트에서 적합한 요금제를 선택하고, 미리 만들어진 서버를 구매한 후 간단한 명령어 몇 개만 입력하면 됩니다. 저희 목적에는 이 옵션이 매우 적합합니다.

이제 서비스 설정으로 넘어가서 먼저 chrony 패키지를 설치해 보겠습니다.

[root@server ~]$ yum install chrony

RHEL 8 / CentOS 8은 다른 패키지 관리자를 사용합니다.

[root@server ~]$ dnf install chrony

Chrony를 설치한 후 서비스를 시작하고 활성화해야 합니다.

[root@server ~]$ systemctl enable chrony --now

원하는 경우 /etc/chrony.conf를 편집하여 NPT 서버를 가장 가까운 로컬 서버로 대체하면 응답 시간을 줄일 수 있습니다.

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.ru.pool.ntp.org iburst
server 1.ru.pool.ntp.org iburst
server 2.ru.pool.ntp.org iburst
server 3.ru.pool.ntp.org iburst

다음으로, 지정된 풀의 노드와 NTP 서버의 동기화를 구성합니다.

[root@server ~]$ timedatectl set-ntp true
[root@server ~]$ systemctl restart chronyd.service

또한 외부로 NTP 포트를 열어야 합니다. 그렇지 않으면 방화벽이 클라이언트 노드에서 들어오는 연결을 차단합니다.

[root@server ~]$ firewall-cmd --add-service=ntp --permanent 
[root@server ~]$ firewall-cmd --reload

클라이언트 측에서는 시간대를 올바르게 설정하면 됩니다.

[root@client ~]$ timedatectl set-timezone Europe/Moscow

/etc/chrony.conf 파일에서 NTP 서버 chrony가 실행 중인 VPS 서버의 IP 또는 호스트 이름을 지정합니다.

server my.vps.server

마지막으로 클라이언트에서 시간 동기화를 시작합니다.

[root@client ~]$ systemctl enable --now chronyd
[root@client ~]$ timedatectl set-ntp true

다음 시간에는 인터넷 없이도 시간을 동기화하는 방법에 대해 말씀드리겠습니다.

출처 : habr.com