Quomodo tempus synchronisation factus est secure

Fac ut tempus per se non mentiatur si decies magnas et parvas machinas per TCP/IP communicantes habes? Post omnes, horologium unumquodque habet, et tempus omnibus rectum esse debet. Circumveniri haec quaestio non potest sine ntp.

Pro momento cogitemus in uno infrastructure industriae segmento difficultates esse cum servitiis synchronising temporis. Statim botrus acervus programmatum Enterprise deficere incipit, ditiones dissolutae, domini et nodis standbyi male nituntur statum quo restituere.

Fieri etiam potest ut oppugnator de industria tempus per MITM vel DDOS impetum perturbare conatur. In tali re aliquid accidere potest;

• Ratio usoris passwords peribit;
• X.509 libellorum exspirabit;
• TOTP duo-factor authenticas operandi cessabit;
• tergum evasissent et ratio ea delebit;
• DNSSec franget.

Patet singulas IT department interesse in certa operatione temporis synchronisationum officia, et pulchrum esset si certae et tutae essent in operatione industriae.

Frange NTP in XXV minuta

Retiacula protocolla - millenniales unum habent proprium, fuerunt outdated nec amplius quicquam prodest, sed reponens eas non ita facile etiam cum acerrima fanaticorum et sumptuum congesta sunt.

Summa querela de classic NTP est defectus certarum machinarum ad defendendas ab incursus saevientes. Varii tentationes ad hanc quaestionem solvendam factae sunt. Ad hoc assequendum, primum mechanismum praecommunicavit clavis (PSK) ad mutandum claves symmetricas.

Infeliciter, haec methodus simplici ratione non solvit - non bene scandet. Configuratio manualis requiritur in cliente latere pendens in calculonis. Hoc significat te non solum alium clientem modo tali addere. Si aliquid mutatur in servo NTP, omnes clientes configurari debent.

Inde cum AutoKey venerunt, sed complures vulnerabiles graves in ipso Algorithmo consilio statim detexerunt et eum omittere debebant. Semen tantum continet XXXII frena, nimis parvum est nec satis complexionem computationalem pro impetu frontis continet.

• Clavis ID - symmetrica 32-bit clavis;
• MAC (nuntius authenticas codicis) - NTP fasciculum checksum;

Autokey computatur sic.

Autokey=H(Sender-IP||Receiver-IP||KeyID||Cookie)

Ubi H() munus cryptographice detrahendum est.

Eadem functione usus est ad checksum de packets calculare.

MAC=H(Autokey||NTP packet)

Evenit ut totius sarcinae integritas in authenticitate crustulorum nititur. Cum eas habeas, autokey ac deinde CALCULUM MAC restituere potes. Sed in NTP servo utitur semine quando eos generans. Hoc est, ubi captura est.

Cookie=MSB_32(H(Client IP||Server IP||0||Server Seed))

Munus MSB_32 intercludit 5 maxime significantes frustulas ex anno md32 Nullam calculi exitum. Cliens crustulum non mutat modo dum ministri parametri immutata manent. Tunc oppugnator solum primum numerum restituere potest et crustula generare independenter potest.

Primum, debes servo NTP coniungere cum clienti ac crustula accipere. Post haec, adhibita vi violentia methodo, oppugnator numerum initialem simplicium algorithmum sequentes restaurat.

Algorithmus oppugnandi calculi numeri initialis utendi vi bruta methodo.

   for i=0:2^32 − 1 do
        Ci=H(Server-IP||Client-IP||0||i)
        if Ci=Cookie then
            return i
        end if 
    end for

Inscriptiones IP notae sunt, ideo omnia quae restant hashes creare est usque dum crustulum creatum unum a servo NTP acceptum aequet. In statione domus regularis cum i2 Intel Core, hoc 32 minuta capiet.

NTS - new Autokey

Talia foramina securitatis in Autokey pati non potuit, et anno 2012 apparuit novam versionem protocollum. Ut nomen compromissum, rebrandum constituerunt, sic Autokey v.2 appellatus est Network Time Securitatis.

Protocollum NTS est extensio securitatis NTP et nunc tantum sustinet modum unicumst. Firmum praesidium cryptographicum praebet contra fasciculum manipulationis, ne snoopationes, squamae bene, damnum in retis schedulae molles sint, et in minimo praecisione damnum quod in nexu securitatis infertur consequitur.

Connexio NTS constat duobus gradibus qui protocollis inferioribus utuntur. On primus In hac scaena, cliens et ministrator in variis connexionibus parametri conveniunt et commutantur crustula quae claves cum omnibus comitantibus notitiae statutae sunt. On secundo Hac in scaena, ipsa sessionis NTS tutata inter clientem et servom NTP locum habet.

NTS constat ex duobus protocollis inferioribus: Network Time Securitatis Clavis Commutationis (NTS-KE), quae nexum securum super TLS et NTPv4 inchoat, novissimam Incarnationem protocolli NTP. De hoc paulo infra.

Primum scaena - NTS KE

In hac scaena, NTP cliens TLS 1.2/1.3 sessionem inchoat per nexum separatum TCP cum servo NTS KE. In hac sessione sequentia fiunt.

• Partes determinare parametri AEAD algorithmus secundus.
• Partes protocollum inferiorem alterum definiunt, sed momento tantum NTPv4 sustinetur.
• Partes constituunt locum IP inscriptionem et portum servo NTP.
• NTS KE server exit crustula sub NTPv4.
• Partes binas clavium symmetriarum (C2S et S2C) ex materia crustulorum eliciunt.

Hic aditus magnum commodum habet quod totum onus secretae informationis tradendae circa ambitum nexum cadit in protocollo probato et certo TLS. Hoc excludit necessitatem ut rotam tuam renovet pro handshake securam NTP.

Secundus gradus - NTP sub tutela NTS

In secundo gradu, cliens secure congruens tempus cum servo NTP. Ad hoc, quattuor speciales extensiones (agros extensiones) in NTPv4 in structuram fasciculi tradit.

• Unicum Identifier Extensio temere non continet quin impetus remonstrationis.
• NTS Extensio Cookie unum continet crustularum NTP clienti praesto. Cum solus cliens habeat claves symmetricas AAED C2S et S2C, servo NTP eas e materia crustulorum extrahere debet.
• NTS Cookie Placeholder Extensio via est clienti ut crustula petat additional a servo. Haec extensio necessaria est ut responsio servo NTP longior non sit quam rogatio. Hoc adiuvat ne amplificationis impetus.
• NTS Authenticator et Encrypted Extensio Agri Extensio continet AAED notas cum clavis C2S, NTP capitis, indicationibus, et supra EF ut comitantium notitia. Sine hac extensione fieri potest stimulum indicis.

Accepta petitione clientis, server authenticitatem NTP fasciculi certificat. Ad hoc faciendum, crustulum minui debet, algorithmum et claves AAED extrahere. Postquam feliciter in NTP fasciculum ad validitatem retardavit, servo clienti in forma sequenti respondet.

• Unique Identifier Extensio speculum est exemplum petitionis clientis mensura contra impetus remonstrationis.
• NTS Crustulum Extensio plus crustularum ad sessionem continuandam.
• NTS Authenticator et Encrypted Extensio Agri Extensiones continet AEAD notas cum clavis S2C.

Secunda handshake pluries iterari potest, primo passu praetermisso, quia unaquaeque petitio et responsio dat clienti crustulum additional. Hoc commodum habet quod operationes intensivas TLS relative resource datae computandi et tradendi PKI numero repetitarum petitionum divisae sunt. Hoc maxime opportunum est pro opportunitate FPGA timeriorum, cum omnes principales functiones in pluribus functionibus ex campo cryptographiae symmetriae fasciculari possunt, totam TLS acervum in aliam fabricam transferentes.

NTPSec

Quid est speciale de NTP? Quamvis auctor propositi, Dave Mills, codicem suum quam maxime probare conatus est, rarus est programmator qui ambages temporis synchronizationis algorithmarum 35 annorum comprehendere poterit. Quidam e codice ante POSIX aeram scriptus erat, et Unix API tunc longe diversus erat ab eo quod hodie usurpatur. Praeterea scientia statistica necessaria est ut signum ab impedimento turbantium linearum expurget.

Primus NTS NTP figere conatus fuit. Postquam oppugnatores ad vulnerabilitates NTP uti didicerunt ad impetus DDoS amplificandos, patuit mutationes radicales necessarias esse. Dum schemata NTS parabantur et complebantur, US Nationalis Scientiae Foundation in fine MMXIV, instanter datum est concessionem modernizationis NTP.

Circulus operarius non a quoquam, sed Ericus Steven Raymond - unus ex fundatoribus et columnis Communitatis Open Source et auctor libri Cathedralis et Bazaar. Primum Eric et amici eius facere conati sunt ex suggestu NTP codicem BitKeeper git, sed hoc modo non elaboravit. Project dux Harlan Stenn contra hanc sententiam et tractatus stabulantur. Tunc furca proiectum esse placuit, et NTPSec nata est.

Solida experientia, incluso opere de GPSD, mathematicus et magicus peritia legendi vetusti codicis - Eric Raymond erat prorsus piratica qui tale negotium detrahere potuit. Turma signum migrationis specialist invenit et in tantum X hebdomadibus NTP habitaviton GitLab. Opus erat in plena adductius.

Manipulus Erici Raimundi munus suscepit eodem modo quo Augustus Rodin lapideo fecit. 175 KLOC ex antiquo codice removendo, signanter oppugnationis superficiem minuere poterant multis foraminibus securitatis claudendis.

Hic est index incompletus eorum quae in distributione continentur;

• Undocumented, outdated, outdated or broken refclock.
• ICS bibliotheca insueta.
• libopts/autogen.
• Vetus codice pro Fenestra.
• ntpdc.
• Autokey.
• In ntpq C codice in Pythone revocetur.
• The sntp/ntpdig C codice in Pythone rescriptum est.

Praeter codicem redigit, exertus alia negotia habuit. Partialis index rerum hic est:

• Codicis munimentum contra quiddam redundantia insigniter emendatum est. Ad ne quiddam redundat, omnes functiones chordae tutae (strcpy/strcat/strtok/sprintf/vsprintf/get) restitutae sunt versionibus tutis tutae quae limites moliendi quiddam efficiunt.
• Addidit NTS auxilium.
• Improved time step accuracy decuples iungendo odio corporis. Inde accidit quod horologia computatrum moderna multo accuratior facta est quam ea cum NTP nata est. Maximae beneficiarii huius erant GPSDO et tempus radiorum dedicaverunt.
• Numerus programmandi linguarum ad duas redactus est. Loco Perl, awk et etiam S scriptis, nunc tota Python est. Ob hoc plures occasiones reuse codicis sunt.
• Instead of noodles scriptorum autotools, exertus programmatis fabricare uti coepit WAF.
• Renovata et ordinatum est documentum project. Ex contradictoria et interdum pervetusta documentorum collectione, documenta satis perspicua creaverunt. Omne mandatum lineae transitum et omnis entitas configurationis nunc unicam versionem veritatis habet. Praeterea homo paginae et documenta interretialia ex eisdem fasciculis nucleis nunc creantur.

NTPSec praesto est multis distributionibus Linux. In momento, postrema versio stabilis est 1.1.8, Gentoo Linux ea est paenultima.

(1:696)$ sudo emerge -av ntpsec
These are the packages that would be merged, in order:
Calculating dependencies... done!
[ebuild   R    ] net-misc/ntpsec-1.1.7-r1::gentoo  USE="samba seccomp -debug -doc -early -gdb -heat -libbsd -nist -ntpviz -rclock_arbiter -rclock_generic -rclock_gpsd -rclock_hpgps -rclock_jjy -rclock_local -rclock_modem -rclock_neoclock -rclock_nmea -rclock_oncore -rclock_pps -rclock_shm -rclock_spectracom -rclock_trimble -rclock_truetime -rclock_zyfer -smear -tests" PYTHON_TARGETS="python3_6" 0 KiB
Total: 1 package (1 reinstall), Size of downloads: 0 KiB
Would you like to merge these packages? [Yes/No]

Chrony

Alterum antiquum NTP reponere conatum fuit cum tutiore joco. Chronia, dissimilis NTPSec, e fundamento scripta est et designata ad fideliter operandum sub amplis condicionibus, inter nexus retis instabiles, partiales retis disponibilitatem vel obstructionem, et mutationes temperaturas. Praeterea chronica alia commoda habet;

• chronica systema horologii velocius accuratius synchronizare potest;
• chronica minor est, memoriam minus consumit, CPU accessiones tantum cum opus fuerit. Magnum est hoc pius ad facultates et industrias conservandas;
• chronica subsidia ferramenta indicationum in Linux, perquam accurata synchronisationi in reticulis localibus permittens.

Quamquam chronica quaedam lineamentorum antiqui NTP caret, ut passim client/servi multicast. Praeterea classic NTP maiorem numerum systematum operandi et suggestuum sustinet.

Ut inactivare functionem ministrantis et NTP petitiones temporis processui, modo portum 0 in chrony.conf lima scribe. Hoc fit in casibus ubi non opus est clientibus vel proceribus NTP tempus ponere. Cum versione 2.0, portus servo NTP apertus est solum cum accessus admittitur per mandatum directivum vel opportunum, vel NTP par configuratur, vel directivum passim adhibetur.

Propositum duobus modis constat.

• chronoyd is a service that runs in the background . Notitiam accipit de discrimine inter horologii systematis et temporis externi cultorem ac tempus loci accommodat. Etiam in protocollo NTP instrumento ac clienti vel servo agere potest.
• chronica est mandatum rectae utilitatis pro programmatis vigilantia et potestate. Solebant subtiliter modulari varios servitiorum ambitus, verbi causa, ut servientes NTP addere vel removere pergat dum currendum est.

Cum versio 7 of RedHat Linux usus chronoy as a time synchronization service . Sarcina etiam in aliis distributionibus Linux praesto est. Ultima versio stabilis est 3.5, praeparans ad v4.0 emissionem.

(1:712)$ sudo emerge -av chrony
These are the packages that would be merged, in order:
Calculating dependencies... done!
[binary  N     ] net-misc/chrony-3.5-r2::gentoo  USE="adns caps cmdmon ipv6 ntp phc readline refclock rtc seccomp (-html) -libedit -pps (-selinux)" 246 KiB
Total: 1 package (1 new, 1 binary), Size of downloads: 246 KiB
Would you like to merge these packages? [Yes/No]

Quomodo erigas propriam longinquam servientis chronologiam in Interreti, ut tempus synchronizare in officio retis. Infra exemplum constituendi VPS.

Exemplum constituendi Chronie in RHEL / CentOS in VPS

Nunc paululum exerceamus et nostram NTP cultorem constituamus in VPS. Valde simplex est, modo convenientem tariff in RuVDS website eligere, promptum-factum ministratorem ac duodecim praecepta simplicia typus. Ad propositum nostrum haec optio satis idonea est.

Transeamus ad constituendum servitium et primum inaugurari sarcina temporum.

[root@server ~]$ yum install chrony

REL 8 / CentOS 8 alia sarcina involucra utatur.

[root@server ~]$ dnf install chrony

Inauguratis chronologiam incipere debes et opera movere.

[root@server ~]$ systemctl enable chrony --now

Si placet, potes mutationes /etc/chrony.conf reddere, reposito NPT ministrantibus cum proximis localibus ad tempus responsionis reducendum.

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.ru.pool.ntp.org iburst
server 1.ru.pool.ntp.org iburst
server 2.ru.pool.ntp.org iburst
server 3.ru.pool.ntp.org iburst

Deinde synchronizationem NTP ministrantis nodis ex determinato lacu constituimus.

[root@server ~]$ timedatectl set-ntp true
[root@server ~]$ systemctl restart chronyd.service

Necesse est etiam portum NTP foris aperire, alioquin firewall ineuntes nexus e nodis clientium obstruet.

[root@server ~]$ firewall-cmd --add-service=ntp --permanent 
[root@server ~]$ firewall-cmd --reload

In latere clientis satis est zonam temporis recte ponere.

[root@client ~]$ timedatectl set-timezone Europe/Moscow

The /etc/chrony.conf fasciculus nominat IP vel exercitum nostrum nomen VPS servo currentis NTP servo chronicae.

server my.vps.server

Ac tandem, incipiendo temporis synchronisationi in clientelam.

[root@client ~]$ systemctl enable --now chronyd
[root@client ~]$ timedatectl set-ntp true

Proximo tempore narrabo tibi quae sint optiones temporis sine Interrete synchronisandi.

Source: www.habr.com