🥇Sida Wakhtiga Isku Xidhiidhku Ku Noqday Ammaan

Sidee loo hubiyaa in waqti kasta uusan been sheegayn haddii aad haysato hal milyan oo qalab oo waaweyn iyo kuwo yaryar oo ku wada xiriira TCP/IP? Ka dib oo dhan, mid kasta oo iyaga ka mid ah ayaa leh saacad, wakhtiguna waa inuu ahaadaa mid sax ah dhammaantood. Dhibkaan lama hareermarin karo la'aanteed ntp.

Aan qiyaaso hal daqiiqo in hal qayb oo ka mid ah kaabayaasha IT-ga warshadaha ay jiraan dhibaatooyin la xiriira is-waafajinta adeegyada waqti ka dib. Islamarkiiba rajada software-ka Enterprise waxay bilaabataa inay fashilanto, xayndaabyadu way kala daadanayaan, sayidyada iyo noodhadhka heeganka waxay ku guul daraysteen inay soo celiyaan xaaladdii hore.

Waxa kale oo suurtogal ah in weeraryahanku si ula kac ah isku dayo inuu wakhtiga ku carqaladeeyo weerarka MiTM ama DDOS. Xaaladdan oo kale, wax kasta ayaa dhici kara:

Koontada sirta ah ee isticmaaluhu wuu dhacayaa;
X.509 shahaadooyinku way dhacayaan;
Xaqiijinta laba-factor ee TOTP waxay joojin doontaa shaqada;
kaydiyadu waxay noqonayaan kuwa duugoobay oo nidaamku wuu tirtiri doonaa;
DNSSec wuu jabi doonaa

Way caddahay in waax kasta oo IT-ga ahi ay xiisaynayso hawlgalka la isku halayn karo ee adeegyada isku-xidhka wakhtiga, wayna fiicnaan lahayd haddii ay ahaan lahaayeen kuwo la isku halayn karo oo ammaan ah hawlgalka warshadaha.

Ku jebi NTP 25 daqiiqo gudahood

Hab-maamuuska shabakada - kun-sano-yadu waxay leeyihiin hal nooc oo gaar ah, waxay ahaayeen duugoobay oo aan hadda waxba ugu roonayn, laakiin beddelidda iyaga ma fududa xitaa marka tiro aad u muhiim ah oo xiiseeya iyo maalgelin la ururiyo.

Cabashada ugu weyn ee ku saabsan NTP-ga caadiga ah waa la'aanta habab la isku halayn karo oo looga hortago weerarrada soo gelaya. Isku dayo kala duwan ayaa la sameeyay si loo xaliyo dhibaatadan. Si taas loo gaaro, waxaan marka hore hirgelinay habka furaha horay loo wadaagay (PSK) ee lagu beddelanayo furayaasha summadaha.

Nasiib darro, habkani ma bixin sabab fudud - si fiican uma miisaan. Qaabeynta gacanta ayaa looga baahan yahay dhinaca macmiilka iyadoo ku xiran server-ka. Tani waxay ka dhigan tahay inaadan ku dari karin macmiil kale oo la mid ah. Haddii ay wax iska beddelaan server-ka NTP, dhammaan macaamiisha waa in dib loo habeeyaa.

Kadib waxay la yimaadeen AutoKey, laakiin waxay isla markiiba ogaadeen dhowr nuglaanta halista ah ee naqshadeynta algorithm lafteeda oo ay ku qasbanaadeen inay ka tagaan. Shayga ayaa ah in abuurku ka kooban yahay 32-bits oo keliya, aad ayuu u yar yahay oo kuma jiro kakanaanta xisaabinta ee weerarka hore.

Aqoonsiga furaha - furaha 32-bit summetric;
MAC (koodhka xaqiijinta fariinta) - jeegaga xidhmada NTP;

Autokey waxaa loo xisaabiyaa sida soo socota.

Autokey=H(Sender-IP||Receiver-IP||KeyID||Cookie)

Meesha H() ay tahay shaqada xashiishka cryptographic.

Isla shaqada ayaa loo isticmaalaa in lagu xisaabiyo jeegaga baakadaha.

MAC=H(Autokey||NTP packet)

Waxay soo baxday in dhammaan daacadnimada xirmooyinka hubinta ay ku tiirsan tahay xaqiiqada cookies-ka. Markaad haysato iyaga, waxaad dib u soo celin kartaa autokey ka dibna waxaad ku dhejin kartaa MAC. Si kastaba ha ahaatee, server-ka NTP wuxuu isticmaalaa abuur marka uu soo saarayo. Waa halka laga qabsadaa.

Cookie=MSB_32(H(Client IP||Server IP||0||Server Seed))

Shaqada MSB_32 waxay gooysaa 5-ka ugu muhiimsan natiijada xisaabinta xashiishka md32. Buskudka macmiilku isma beddelo ilaa inta xuduuda serferku aanu waxba iska beddelin. Kadibna weeraryahanku waxa uu soo celin karaa oo kaliya nambarkii hore oo uu awood u yeelan karaa in uu si madaxbanaan u soo saaro cookies.

Marka hore, waxaad u baahan tahay inaad ku xidho serverka NTP macmiil ahaan oo aad hesho cookies Taas ka dib, iyadoo la adeegsanayo hab xoog wax ku ool ah, weeraryahanku wuxuu soo celinayaa nambarkii hore isagoo raacaya algorithm fudud.

Algorithm ee lagu weerarayo xisaabinta nambarka bilowga ah iyadoo la adeegsanayo habka xoogga-xoogga.

   for i=0:2^32 − 1 do
        Ci=H(Server-IP||Client-IP||0||i)
        if Ci=Cookie then
            return i
        end if 
    end for

Ciwaanka IP-ga waa la yaqaan, markaa waxa hadhay waa in la sameeyo 2^32 xashiish ilaa inta buskudka la abuuray uu la mid yahay kan laga helay server-ka NTP. Saldhig guri oo caadi ah oo leh Intel Core i5, tani waxay qaadan doontaa 25 daqiiqo.

NTS - Autokey cusub

Suuragal ma ahayn in lagu dhejiyo godadka amniga ee Autokey, iyo 2012-kii ayaa u muuqday nooc cusub borotokoolka. Si ay magacaas wax u dhimaan, waxay go'aansadeen in ay dib u summeeyaan, markaas Autokey v.2 waxaa loogu magac daray Amniga Waqtiga Isku-xirka.

Hab-maamuuska NTS waa kordhinta amniga NTP oo hadda waxa uu taageeraa habka uncast. Waxay bixisaa ilaalin xooggan oo qarsoodi ah oo ka dhan ah khalkhalgelinta baakidhka, waxay ka hortagtaa snooping, si fiican u miisaamaysa, waxay u adkaysataa luminta xirmada shabakada, waxayna keentaa qadarka ugu yar ee khasaaraha saxda ah ee dhacay inta lagu jiro amniga xiriirka.

Xidhiidhka NTS wuxuu ka kooban yahay laba marxaladood oo isticmaala borotokoolka lakabka hoose. Daar marka hore Marxaladdan, macmiilka iyo adeeguhu waxay ku heshiiyaan cabbirro isku xidhid oo kala duwan waxayna beddelaan cookies oo ay ku jiraan furayaal dhammaan xogta la socota. Daar labaad Marxaladdan, fadhiga NTS ee dhabta ah ee la ilaaliyo wuxuu dhex maraa macmiilka iyo server-ka NTP.

NTS waxa ay ka kooban tahay laba hab-maamuus oo lakabka hoose ah: Isku-beddelka Furaha Amniga Waqtiga Shabakadda (NTS-KE), kaas oo bilaabaya xidhiidh sugan oo ka sarreeya TLS, iyo NTPv4, soo-bandhiggii ugu dambeeyay ee hab-maamuuska NTP. In yar oo arrintan ku saabsan hoos.

Marxaladda koowaad - NTS KE

Marxaladdan, macmiilka NTP waxa uu bilaabaya TLS 1.2/1.3 oo ku saabsan xidhiidh TCP gaar ah oo la leh serverka NTS KE. Inta lagu jiro kalfadhigan waxa soo socda.

Dhinacyadu waxay go'aamiyaan cabbirrada AEAD algorithm ee marxaladda labaad.
Dhinacyadu waxay qeexaan borotokoolka lakabka hoose ee labaad, laakiin hadda NTPv4 kaliya ayaa la taageeray.
Dhinacyadu waxay go'aamiyaan ciwaanka IP-ga iyo dekedda server-ka NTP.
Adeegga NTS KE wuxuu soo saaraa cookies-ka hoos yimaada NTPv4.
Dhinacyadu waxa ay ka soo saartaan furayaasha summeerka (C2S iyo S2C) ee walxaha buskudka.

Habkani wuxuu leeyahay faa'iido weyn in dhammaan culayska gudbinta macluumaadka sirta ah ee ku saabsan xuduudaha isku xirka ay ku dhacaan borotokoolka TLS ee la xaqiijiyay oo la isku halayn karo. Tani waxay meesha ka saaraysaa baahida loo qabo dib-u-cusboonaysiinta giraangirahaaga si loo helo gacan-qaad NTP oo sugan.

Marxaladda labaad - NTP oo hoos timaada ilaalinta NTS

Talaabada labaad, macmiilku si ammaan ah ayuu wakhtiga ula shaqeeyaa server-ka NTP. Ujeedadaas awgeed, waxay gudbisaa afar kordhin gaar ah (goobaha fidinta) ee qaab dhismeedka xirmada NTPv4.

Kordhinta Aqoonsiga Gaarka ah wuxuu ka kooban yahay si aan toos ahayn si looga hortago weerarrada soo noqnoqda.
Kordhinta Kukiyada NTS waxay ka kooban tahay mid ka mid ah cookies-ka NTP ee uu heli karo macmiilka. Mar haddii macmiilku leeyahay summeeyaha AAED C2S iyo furayaasha S2C, adeegaha NTP waa inuu ka soo saaraa walxaha buskudka.
Kordhinta Meelaynta Kukiyada ee NTS waa hab uu macmiilku uga codsado buskudyada serferka. Kordhintani waa lagama maarmaan si loo hubiyo in jawaabta server-ka NTP aysan ka dheerayn codsiga. Tani waxay kaa caawinaysaa ka hortagga weerarrada kordhinta.
Xaqiijiyaha NTS iyo Kordhinta Goobo Fidinta sir ah ayaa ka kooban AAED cipher oo wata furaha C2S, madaxa NTP, shaambada waqtiyada, iyo EF-da sare ee xogta la socota. Kordhintaasi la'aanteed waxa suurtagal ah in la jeexo shaambada wakhtiga.

Marka uu helo codsiga macmiilka, server-ku waxa uu xaqiijiyaa xaqiiqnimada xidhmada NTP. Si tan loo sameeyo, waa inuu furfuraa cookies-ka, soo saara AAED algorithm iyo furayaasha. Kadib markaad si guul leh u hubiso xirmada NTP si ay ansax u tahay, adeeguhu wuxuu macmiilka uga jawaabayaa qaabkan soo socda.

Kordhinta Aqoonsiga Gaarka ah waa nuqul muraayadda codsiga macmiilka, cabbir ka dhan ah weerarrada ku celiska ah.
Kukiyada NTS Kordhi cookies badan si loo sii wado fadhiga.
Xaqiijiyaha NTS iyo Kordhinta Goobo Fidinta sir ah ayaa ka kooban xarafka AEAD oo wata furaha S2C.

Gacan-qaadka labaad ayaa lagu soo celin karaa marar badan, iyadoo laga gudbayo tillaabada koowaad, maadaama codsi kasta iyo jawaabtu ay siinayso macmiilka cookies-ka dheeraadka ah. Tani waxay faa'iido u leedahay in hawlaha TLS-dhaqaale ee kheyraadka ku jira ee xisaabinta iyo gudbinta xogta PKI loo qaybiyay tirada codsiyada soo noqnoqda. Tani waxay si gaar ah ugu habboon tahay waqti-hayayaasha gaarka ah ee FPGA, marka dhammaan shaqada ugu weyn lagu soo ururin karo hawlo dhowr ah oo ka socda goobta summeynta cryptografiga, iyada oo dhammaan xirmooyinka TLS loo wareejinayo qalab kale.

NTPSec

Maxaa gaar ah oo ku saabsan NTP? Inkasta oo qoraaga mashruuca, Dave Mills, uu isku dayay inuu diiwaan geliyo koodkiisa sida ugu wanaagsan ee suurtogalka ah, waa barnaamij-yaqaan naadir ah oo awood u yeelan doona inuu fahmo qallafsanaanta algorithms isku-dhafka waqtiga ee 35 sano jir ah. Qaar ka mid ah koodka ayaa la qoray ka hor xilligii POSIX, Unix API-ga markaas aad ayuu uga duwanaa tan maanta la isticmaalo. Intaa waxaa dheer, aqoonta tirakoobka ayaa loo baahan yahay si loo nadiifiyo calaamadda faragelinta khadadka buuqa.

NTS ma ahayn isku daygii ugu horreeyay ee lagu hagaajiyo NTP. Mar ay weerarradu barteen inay ka faa'iidaystaan dayacanka NTP si ay u xoojiyaan weerarrada DDoS, waxaa caddaatay in loo baahan yahay isbeddello xagjir ah. Iyadoo qoraallada NTS la diyaarinayay lana dhammeeyey, Mu'asasada Sayniska Qaranka ee Maraykanka dhammaadkii 2014 waxay si degdeg ah u qoondaysay deeq casriyaynta NTP.

Kooxda shaqada cidna ma hogaaminin, laakiin Eric Steven Raymond - mid ka mid ah aasaasayaasha iyo tiirarka bulshada isha furan iyo qoraaga buugga Cathedral iyo Bazaar. Waxa ugu horreeya ee Eric iyo saaxiibbadiis ay isku dayeen inay sameeyaan waxay ahayd ka wareejinta koodhka NTP ee goobta BitKeeper si ay u git, laakiin ma aysan dhicin sidaas. Hogaamiyaha mashruuca Harlan Stenn wuu ka soo horjeeday go'aankan, wada xaajoodkuna wuu istaagay. Kadib waxaa la go'aamiyay in fargeeto code-ka mashruuca, oo NTPSec ayaa dhashay.

Khibrad adag, oo ay ku jirto shaqada GPSD, asalka xisaabeed iyo xirfadda sixirka ee akhrinta koodkii hore - Eric Raymond wuxuu ahaa dhab ahaan hacker-ka ka saari kara mashruucan. Kooxdu waxay heshay khabiir ku takhasusay socdaalka iyo 10 toddobaad gudahood NTP degeenku yaal GitLab. Shaqadu si xawli ah ayay ku socotay.

Kooxda Eric Raymond waxa ay hawsha u qaadeen si la mid ah sidii uu Auguste Rodin ku sameeyay baloog dhagax ah. Iyagoo meesha ka saaray 175 KLOC ee koodkii hore, waxay awoodeen inay si weyn u yareeyaan dusha weerarka iyagoo xiray godad badan oo amniga ah.

Halkan waxaa ah liis aan dhamaystirnayn oo ah kuwa lagu daray qaybinta:

Aan sharciyeysnayn, duugoobay, wakhtigeedii dhammaaday ama jabay.
Maktabada ICS ee aan la adeegsan
libopts/autogen.
Koodhkii hore ee Windows.
ntpdc.
Baabuurka
Koodhka ntpq C ayaa dib loogu qoray Python.
Koodhka sntp/ntpdig C ayaa dib loogu qoray Python.

Marka laga reebo nadiifinta koodka, mashruucu wuxuu lahaa hawlo kale. Waa kan liiska qayb ee guulaha:

Ilaalinta xeerka ka hortagga qulqulka xad dhaafka ah ayaa si weyn loo hagaajiyay. Si looga hortago qulqulka xad dhaafka ah, dhammaan hawlaha xadhkaha aan badbaadada lahayn (strcpy/strcat/strtok/sprintf/vsprintf/gets) ayaa lagu bedelay noocyo nabdoon oo hirgeliya xadka cabbirka kaydinta.
Taageerada NTS ee lagu daray.
Wakhtiga la hagaajiyay saxnaanta tillaabada toban laab iyadoo la isku xirayo qalabka jireed. Taas waxaa sabab u ah in saacadaha kombuyuutarrada casriga ah ay noqdeen kuwo aad uga saxsan kuwii markii NTP-da ay dhalatay. Ka-faa'iideystayaasha ugu badan ee tani waxay ahaayeen GPSDO iyo raadiyaha waqti go'an.
Tirada luuqadaha barnaamijka ayaa laga dhigay laba. Halkii laga heli lahaa Perl, awk iyo xitaa qoraallada S, hadda waa dhammaan Python. Taas awgeed, waxaa jira fursado badan oo dib-u-isticmaalka koodka.
Halkii baasto ee qoraallada autotools, mashruucu wuxuu bilaabay inuu isticmaalo nidaamka dhisidda software waab.
La cusboonaysiiyay oo dib loo habeeyey dukumentiyada mashruuca Laga soo bilaabo ururinta dukumentiyada iska hor imanaya iyo mararka qaarkood qadiimiga ah, waxay abuureen dukumeenti la mari karo. Xariiq kasta oo talis ah iyo qayb kasta oo qaabayntu hadda waxay leedahay hal nooc oo runta ah. Intaa waxaa dheer, boggaga man iyo dukumentiyada shabakada ayaa hadda laga abuuray isla faylal isku mid ah.

NTPSec ayaa diyaar u ah tiro qaybinta Linux ah. Waqtigan xaadirka ah, nooca ugu dambeeyay ee xasilloon waa 1.1.8, Gentoo Linux waa kan ugu sarreeya.

(1:696)$ sudo emerge -av ntpsec
These are the packages that would be merged, in order:
Calculating dependencies... done!
[ebuild   R    ] net-misc/ntpsec-1.1.7-r1::gentoo  USE="samba seccomp -debug -doc -early -gdb -heat -libbsd -nist -ntpviz -rclock_arbiter -rclock_generic -rclock_gpsd -rclock_hpgps -rclock_jjy -rclock_local -rclock_modem -rclock_neoclock -rclock_nmea -rclock_oncore -rclock_pps -rclock_shm -rclock_spectracom -rclock_trimble -rclock_truetime -rclock_zyfer -smear -tests" PYTHON_TARGETS="python3_6" 0 KiB
Total: 1 package (1 reinstall), Size of downloads: 0 KiB
Would you like to merge these packages? [Yes/No]

Daba-dheer

Waxaa jiray isku day kale oo lagu doonayay in lagu beddelo NTP-gii hore oo lagu beddelo beddelka badbaadsan. Chrony, oo ka duwan NTPSec, ayaa laga soo qoray xagga hoose waxaana loo qaabeeyey in ay si la isku halleyn karo ugu shaqeyso xaalado kala duwan oo kala duwan, oo ay ku jiraan isku xirnaanta shabakad aan degganeyn, helitaanka shabakad qayb ahaan ama ciriiri ah, iyo isbeddellada heerkulka. Intaa waxaa dheer, Chrony waxay leedahay faa'iidooyin kale:

Chrony waxay u shaqayn kartaa saacada nidaamka si dhakhso leh oo saxsanaan weyn;
Chrony wuu ka yar yahay, wuxuu cunaa xusuusta yar, wuxuuna galaa CPU kaliya marka loo baahdo. Tani waa faa'iido weyn oo lagu badbaadinayo kheyraadka iyo tamarta;
Chrony waxay taageertaa stamps-ka qalabka ee Linux, taas oo u oggolaanaysa in si sax ah loo wada shaqeeyo shabakadaha maxalliga ah.

Si kastaba ha ahaatee, dabadheeraadku waxa ka maqan qaar ka mid ah sifooyinkii NTP-gii hore, sida baahinta iyo macmiilka/serverka badan. Intaa waxaa dheer, NTP caadiga ah waxay taageertaa tiro badan oo ah nidaamyada hawlgalka iyo aaladaha.

Si aad u joojiso shaqada adeegaha iyo codsiyada NTP ee habka chronyd, kaliya ku qor dekedda 0 faylka chrony.conf. Tan waxaa lagu sameeyaa kiisas aan loo baahnayn in wakhti loo ilaaliyo macaamiisha NTP ama asxaabta. Tan iyo nooca 2.0, dekedda server-ka NTP waxay furan tahay keliya marka gelitaanka loo oggolaado dardaaranka oggolaanshaha ama amarka habboon, ama asxaabta NTP la habeeyey, ama dardaaran baahinta la isticmaalo.

Barnaamijku wuxuu ka kooban yahay laba qaybood.

Chronyd waa adeeg ka shaqeeya gadaal. Waxay helaysaa macluumaadka ku saabsan farqiga u dhexeeya saacadda nidaamka iyo server-ka wakhtiga dibadda waxayna hagaajisaa wakhtiga maxalliga ah. Waxay kaloo fulisaa hab-maamuuska NTP waxayna u dhaqmi kartaa sidii macmiil ama adeeg.
Chronyc waa utility khadka taliska ee kormeerka iyo xakamaynta barnaamijka. Loo isticmaalo in lagu hagaajiyo xuduudaha adeegyada kala duwan, tusaale ahaan kuu oggolaanaya inaad ku darto ama ka saarto server-yada NTP inta chronyd uu sii socdo.

Laga soo bilaabo nooca 7 ee RedHat Linux adeegsadaa Chrony sida adeegga isku-dubbaridka wakhtiga. Xirmada ayaa sidoo kale diyaar u ah qaybinta kale ee Linux. Nooca ugu dambeeyay ee xasilloon waa 3.5, isagoo isu diyaarinaya sii deynta v4.0.

(1:712)$ sudo emerge -av chrony
These are the packages that would be merged, in order:
Calculating dependencies... done!
[binary  N     ] net-misc/chrony-3.5-r2::gentoo  USE="adns caps cmdmon ipv6 ntp phc readline refclock rtc seccomp (-html) -libedit -pps (-selinux)" 246 KiB
Total: 1 package (1 new, 1 binary), Size of downloads: 246 KiB
Would you like to merge these packages? [Yes/No]

Sida loo dejiyo server-kaaga fog ee intarneedka si aad wakhtiga ugu wada xidhiidho shabakada xafiiska. Hoos waxaa ku yaal tusaale dejinta VPS.

Tusaale ahaan dejinta Chrony on RHEL / CentOS ee VPS

Aynu hadda ku celcelinno in yar oo aan dejinno server-kayaga NTP VPS. Waa wax aad u fudud, kaliya dooro tacriifada ku habboon bogga RuVDS, hel server diyaarsan oo ku qor darsin amarro fudud ah. Ujeedooyinkayada, doorashadani waa mid ku habboon.

Aan u gudubno dejinta adeegga oo marka hore rakibo xirmada daba-dheeraada.

[root@server ~]$ yum install chrony

RHEL 8 / CentOS 8 isticmaal maareeye xirmo kale.

[root@server ~]$ dnf install chrony

Ka dib marka aad rakibto chrony, waxaad u baahan tahay inaad bilowdo oo aad kiciso adeegga.

[root@server ~]$ systemctl enable chrony --now

Haddii la rabo, waxaad ku samayn kartaa isbeddelo /etc/chrony.conf, adigoo ku beddelaya serferada NPT kuwa kuugu dhow si loo yareeyo wakhtiga jawaabta.

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.ru.pool.ntp.org iburst
server 1.ru.pool.ntp.org iburst
server 2.ru.pool.ntp.org iburst
server 3.ru.pool.ntp.org iburst

Marka xigta, waxaan dejinay isku-dubarid server-ka NTP oo leh nood barkad cayiman.

[root@server ~]$ timedatectl set-ntp true
[root@server ~]$ systemctl restart chronyd.service

Waxa kale oo lagama maarmaan ah in la furo dekedda NTP dibadda, haddii kale dab-damiska ayaa xannibi doona xidhiidhada soo socda ee qanjidhada macmiilka.

[root@server ~]$ firewall-cmd --add-service=ntp --permanent 
[root@server ~]$ firewall-cmd --reload

Dhinaca macmiilka, waa ku filan inaad si sax ah u dejiso aagga wakhtiga.

[root@client ~]$ timedatectl set-timezone Europe/Moscow

Faylka /etc/chrony.conf wuxuu qeexayaa IP-ga ama magaca martida loo yahay ee server-ka VPS ee ku shaqeeya server-ka NTP.

server my.vps.server

Ugu dambayntiina, bilawga wada shaqaynta wakhtiga macmiilka.

[root@client ~]$ systemctl enable --now chronyd
[root@client ~]$ timedatectl set-ntp true

Marka xigta waxaan kuu sheegi doonaa fursadaha jira ee la isku waafajinayo wakhtiga internetka la'aanteed.

Source: www.habr.com

Sida wakhtiga wada shaqayntu u noqotay mid sugan