The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой защищённого протокола NTS

09.10.2020 18:41

Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для протокола NTS (Network Time Security) и опубликовал связанную с ним спецификацию под идентификатором RFC 8915. RFC получил статус "Предложенного стандарта", после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию протокола и учёт всех высказанных замечаний.

Стандартизация NTS является важным шагом для повышения безопасности сервисов синхронизации точного времени и защиты пользователей от атак, имитирующих NTP-сервер, к которому подключается клиент. Манипуляции злоумышленников, связанные с установкой неверного времени, могут использоваться для нарушения безопасности других протоколов, учитывающих время, таких как TLS. Например, изменение времени может привести к неверной интерпретации данных о действии TLS-сертификатов. До сих пор NTP и симметричное шифрование каналов связи не позволяли гарантировать, что клиент взаимодействует с целевым, а не подменённым NTP-сервером, а аутентификация по ключам не получила распространение так как слишком усложнена для настройки.

NTS использует элементы инфраструктуры открытых ключей (PKI) и позволяет использовать TLS и аутентифицированное шифрование AEAD (Authenticated Encryption with Associated Data) для криптографической защиты взаимодействия клиента и сервера по протоколу NTP (Network Time Protocol). NTS включает в себя два отдельных протокола: NTS-KE (NTS Key Establishment для обработки начальной аутентификации и согласования ключей поверх TLS) и NTS-EF (NTS Extension Fields, отвечает за шифрование и аутентификацию сеанса синхронизации времени). NTS добавляет в пакеты NTP несколько расширенных полей и хранит всю информацию о состоянии только на стороне клиента, используя механизм передачи cookie. Для обработки соединений по протоколу NTS выделен сетевой порт 4460.

Первые реализации стандартизированного NTS предложены в на днях опубликованных выпусках NTPsec 1.2.0 и Сhrony 4.0. Сhrony предоставляет собой независимую реализацию клиента и сервера NTP, которая применяется для синхронизации точного времени в различных дистрибутивах Linux, в том числе в Fedora, Ubuntu, SUSE/openSUSE и RHEL/CentOS. NTPsec развивается под руководством Эрика Реймонда (Eric S. Raymond) и является форком эталонной реализации протокола NTPv4 (NTP Classic 4.3.34), сфокусированным на переработке кодовой базы с целью повышения безопасности (выполнена чистка устаревшего кода, задействованы методы предотвращения атак и защищённые функции для работы с памятью и строками).

  1. Главная ссылка к новости (https://blog.ntpsec.org/2020/1...)
  2. OpenNews: Первый стабильный релиз NTPsec, защищённого форка NTPD
  3. OpenNews: Проект OpenBSD выпустил NTP-сервер OpenNTPD 6.0
  4. OpenNews: В NTP 4.2.8p7 устранено 11 уязвимостей
  5. OpenNews: Подстановка лишней секунды через NTP была использована для атаки на Linux-системы
  6. OpenNews: Представлен NTP-сервер Ntimed, который будет развиваться параллельно с NTPD
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/53862-nts
Ключевые слова: nts, ntp, chrony, ntpsec
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (57) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, сукуб (?), 21:57, 09/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Ну хоть кому-то мозга хватило этим занятся.
    И хорошо что не завернули в смузихлёбный http + json
     
     
  • 2.3, пох. (?), 22:29, 09/10/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Ну хоть кому-то мозга хватило этим занятся.

    тем кому не хватило мозга банально настроить авторизацию в банальном ntpd ?

    > И хорошо что не завернули в смузихлёбный http + json

    у них и так оверинжинеренное ненужно успешно получилось.

    И, разумеется, вместо распределенной сети пиров - потреблять завязанная на единственный глючный сервер "авторизации" с меганавороченным протоколом, при сдыхании которого вся блоатварь превращается в тыкву.

     
     
  • 3.5, RomanCh (ok), 22:34, 09/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > вместо распределенной сети пиров - потреблять завязанная на единственный глючный сервер "авторизации" с меганавороченным протоколом, при сдыхании которого вся блоатварь превращается в тыкву.

    Но ведь это универсальная современная концепция внедряемая решительно везде. Вы так говорите, будто не довольны прогрессом.

     
     
  • 4.6, ПэЖэ (?), 23:21, 09/10/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    >Но ведь это универсальная современная концепция внедряемая решительно везде. Вы так говорите, будто не довольны прогрессом.

    не всё что развивается со временем является прогрессом - например ржавчина, гниение и плесень  

     
     
  • 5.9, RomanCh (ok), 02:53, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  ржавчина, гниение и плесень  

    Вы так говорите, будто не знаете что всё относительно, и что кому-то гниение, другому - жизненно необходимый процесс.

    И в конце концов, вы будто бы имеете что-то предложить лучше чем вот это всё?

     
     
  • 6.11, Аноним (11), 05:08, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты ещё вирусы вспомни и не лечись от них никогда!
     
     
  • 7.14, Ковид20 (?), 08:40, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В ананиме бактерий больше, чем клеток.
     
     
  • 8.24, Онаним (?), 11:44, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Внезапно бактерии - тоже клетки Марш в школу ... текст свёрнут, показать
     
  • 7.16, YetAnotherOnanym (ok), 09:39, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Строго говоря, гниение, происходящее в компостной куче, есть процесс жизненно необходимый для плодородия почвы. Равно же и размножение плесени в жбане на фармзаводе есть также процесс жизненно необходимый для пациентов, ожидающих лекарства.
     
  • 7.21, RomanCh (ok), 11:30, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    То есть, по существу вам ответить таки нечего. Так и запишем, противник современного прогресса. Чтобы Илон Маск не давал тебе благословенного небесного интернета.
     
  • 5.17, Аноним (17), 09:51, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В экосфере гниение является удалением отходов филогенеза и созданием топлива для более неизких уровней и таким образом является неотделимой частью прогресса первой. Тут претензии, пока, только к тепловой смерти вселенной
     
  • 5.48, БСФК (?), 19:34, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    все вами перечисленное и есть прогресс, именно ржавчина дает вам возможность жить, этот процесс называется газообмен при помощи эритроцитов, плесень - основа всех антибиотиков, ну а гниение это естественный механизм очистки
     
  • 2.7, Annoynymous (ok), 23:58, 09/10/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > И хорошо что не завернули в смузихлёбный http + json

    https + json!

     
     
  • 3.32, Annoynymous5123123 (?), 21:26, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    http2 + grpc!
     
     
  • 4.34, онанимуз (?), 22:22, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    http3 тогда уж
     
     
  • 5.53, Аноним (53), 21:59, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И в asn.1
     

  • 1.8, Dzen Python (ok), 00:08, 10/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    1/10
    Добавлять теперь ключи для NTP-серверов. А потом для чего? Для небав, для алл*ха?
     
  • 1.10, Аноним (10), 04:02, 10/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Т.е. теперь если у тебя неправильное время, то его и синхронизировать не получится, потому что TLS работать не будет?
     
     
  • 2.13, malloc (?), 08:33, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Да, именно так. Пир с неправильным временем потенциально опасен. Потому что не исключено, что он жертва злоумышленников, которые манипулировали временем на нём. Такой хост вообще подлежит немедленной физической утилизации. А то мало ли что злоумышленники там подменили? Вдруг местная фирмварь уже не подлинная или iME (или аналог)? Вы же как администратор NTP-сервера не можете ручаться за клиентов, так?
    Скажите спасибо, что новый протокол не предусматривает высылку пативанов всем, чей тайм скью превышает условную 1 секунду.
     
     
  • 3.15, Аноним (11), 08:42, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > новый протокол не предусматривает высылку пативанов всем ...

    Там, это, святой Илон обещает исправить клиента в любой точке Земли менее, чем за час, путём высылки 80-тонного патча.

     
  • 2.20, Ordu (ok), 10:59, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Надо выводить на рынок астрономические часы. Эдакую инсталляцию на крышу с камерой, которая будет снимать картинки неба и на основании них определять дату/время. Работать будет через раз из-за погодных условий, точность будет не фонтан, но позволит разорвать порочный круг.
     
     
  • 3.23, Аноним (23), 11:43, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Может лучше не стоит создавать этот порочнй круг? Это дешевле и проще, и никакого оверинжиниринга.
     
     
  • 4.26, Ordu (ok), 12:18, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Может лучше не стоит создавать этот порочнй круг? Это дешевле и проще,
    > и никакого оверинжиниринга.

    Тут вопрос в том, насколько возможно сделать прибыльным бизнес с астрономическими часами. Если возможно, то лучше с порочным кругом -- возможность заработать инженеру.

     

  • 1.18, Ананимус (?), 10:37, 10/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Забавно, что в openbsd додумались сделать констрейнты с любой https страницы (привет, поле date), а эти целый протокол нагородили.
     
     
  • 2.27, Аноним (27), 13:57, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    htpdate уже сто лет в обед, но точность у этого механизма — плюс-минус секунда. У NTP эдак в тысячу-другую раз точнее.
     
     
  • 3.33, Ананимус (?), 22:17, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты не понял фишки. У них NTP, просто приходящие значения сравниваются с указанной тобой страницей, чтобы проверить, что время от пира выглядит как что-то вменяемое.
     
     
  • 4.44, Аноним (27), 16:12, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    То есть уход времени на одну секунду оно не заметит, потому что это укладывается в погрешность.

    А вообще, в NTP редко используется менее трех серверов синхронизации, и если уж злой дядя перехватил и переписал показания минимум двух, то веб-запросы до одного сайта зарезать ему вообще не проблема.

     
     
  • 5.54, Ананимус (?), 22:44, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    NTP ПОДВЕРЖЕН MITM, ничего захватывать не надо. Констрейнты позволяют понять, что либо пир бажный, либо, если все пиры присылают дичь, происходит что-то не то.
     

  • 1.19, Аноним (19), 10:42, 10/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Чего только не выдумывают люди, чтобы не использовать IPSec!
     
  • 1.22, Онаним (?), 11:43, 10/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Спасибо, ребята, но нет.
    Особенно с отдельным сервером ключей.
    Свой GPS-источник выйдет дешевле, проще и надёжнее.
     
     
  • 2.28, Аноним (27), 14:00, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В целях безопасности, GPS скоро тоже будет только шифрованный.
    Остается глонасс и галилео с полутора подводными спутниками. Точность такая себе.
     
     
  • 3.29, Онаним (?), 14:22, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вам лично Трамп нашептал?
     
  • 3.31, Сейд (ok), 18:35, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ещё есть служба времени «Бета».
     
     
  • 4.43, Аноним (27), 16:09, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В случае кризиса демократии, Бету западные партнёры уничтожат первым делом (по основному назначению — это радиокомплекс ВМФ России для связи с подводными лодками).
     
     
  • 5.46, Сейд (ok), 16:53, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Деградация ГЛОНАСС вероятнее кризиса демократии (если спутники начнут выходить из строя в ближайшие год-два, заменить их будет нечем).
     
     
  • 6.56, Аноним (27), 11:57, 12/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Бета существует гораздо дольше, чем спутниковая навигация как таковая. И проблемы глонасса ей параллельно.
     
  • 2.35, пох. (?), 08:51, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Свой GPS-источник выйдет дешевле, проще и надёжнее.

    Вот самое интересное как раз в том, что в отличие от очень теоретической возможности правдоподобно подделать ответы ntpd, совершенно практические и активно применяемые на территории как минимум одной ресурсной ფедерации технологии подделки данных gps существуют давным-давно.

    Кто-нибудь, расскажите эту ценную новость придуркам из ietf.

     
     
  • 3.37, Аноним (-), 11:47, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да да, вот когда начнут глушить спутники у тебя обязательно будет интернет с доступом к любимому нтп серверу где ты вот так вот безпалевно будешь синхронизироваться.. Именно так все и будет, Ванга предсказала.
     
     
  • 4.39, Онаним (?), 12:20, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не, он прав. GPS как единственный источник может быть стрёмно в определённых условиях.

    Менее стрёмно чем удалённые NTP (которые даже шифрованными могут попасть под контроль хакеров), но всё равно стрёмно.

     
     
  • 5.45, Аноним (27), 16:19, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Те конторы, которым действительно есть основания опасаться подобной атаки, как правило, могут себе позволить ящик с PPS, типа Meinberg LANTIME.
     
     
  • 6.47, Сейд (ok), 19:12, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У которого источник синхронизации — ГЛОНАСС.
     
  • 6.52, Аноним (52), 21:15, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а по большому счету, все это гнилые отмазки лишь бы сделать "ненужным" протокол udp и потом его запретить, причем запретить так чтоб кроме определенных пакетов tcp в определенных направляниях не ходило ничего, а пользователи приходили со своими бутылками. И вот тогда будет счастье, свобода и демократия !
     
     
  • 7.57, Аноним (27), 12:00, 12/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В то время как гугл со своим HTTP over UDP бороздит большой театр...

    Нет, они воюют не с UDP, а с нешифрованным трафиком. Потому что централизованная структура PKI открывает огромные возможности для шпионажа и блокировок. Причём только для избранных.

     
     
  • 8.58, Сейд (ok), 14:26, 12/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше только для избранных, чем для всех ... текст свёрнут, показать
     
  • 4.59, пох. (?), 10:00, 13/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Да да, вот когда начнут глушить спутники у тебя обязательно будет интернет с доступом к любимому
    > нтп серверу

    конечно будет - какой именно сервер сегодня особенно любим - товарищ майор укажутъ!

    Но ты, кажется, недопонимаешь в какой стране живешь. Там где боевые ОВ могут использоваться мелким криминалом для устранения конкурентов, точно так же мелкий криминал может (и недорого) взять в аренду (вместе с прикованным лейтенантом для управления) или купить персональный мобильный комплекс РЭБ с фичейб заметь, не подавления, а _подмены_ gps-сигналов. Оно именно подменяет, а не глушит.

     
  • 3.38, Онаним (?), 12:18, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну кстати да, спуфинг GPS не дешёвое удовольствие, но локально возможен.
    Можно в дубль поставить цезиевый источник рядом.
     
     
  • 4.42, Аноним (27), 16:06, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно в дубль поставить цезиевый источник рядом.

    Дёшево, удобно, сердито!

    К тому же, при наличии двух источников синхронизации (GPS и PPS), ntpd выберет за "правильный" один из них, причём выбор зависит от такого множества факторов, что его можно считать случайным.

     
     
  • 5.49, Онаним (?), 20:09, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Смотри. Допустим GPS использовать для начальной синхронизации, PPS для поддержания незыблемости тиков.
    Таким образом спуфинг GPS становится не актуальным за исключением рестарта всех локальных нод NTP.
     
  • 5.50, Онаним (?), 20:13, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И это только если ну реально нужно сделать так, чтобы спуфинг GPS вообще был фиолетов.
    Если же уровень доверия к GPS достаточен и риск спуфинга ключевой роли не играет, то достаточно просто GPS.

    А предлагаемое извращение над инфраструктурой в этом смысле ничем не лучше "просто GPS", по сути. Потому что возможна компрометация источника, при сохранении валидности ключей.

     

  • 1.25, YetAnotherOnanym (ok), 11:56, 10/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Пц... И всё это для того, чтобы спросить "мусью, скольки время?".
    Нагородили кучу лишнего обвеса, чтобы в вопросе об источнике доверия перевести стрелки на PKI.
    Проще было бы скачать с сайта NIST или ВНИИФТРИ (когда у ВНИИФТРИ появится доступ к сайту по https) открытый ключ и проверять им ответы, подписанные соответствующим закрытым ключом. В этом случае цепочка доверия идёт от УЦ, записанного в моём броузере, т.е. опирается на ту же инфраструктуру PKI.
     
     
  • 2.30, OpenEcho (?), 16:38, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Пц... И всё это для того, чтобы спросить "мусью, скольки время?".

    Нет, это все для того, что бы идентифицировать весь трафик, что бы знать who is who

     
  • 2.36, Аноним (-), 11:43, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это как с https - чтоб сливали всю инфу более ахотно чем через просто http
     
  • 2.40, Онаним (?), 12:21, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кстати да. Самым простым решением видится gpg. Или даже тупо DTLS.
     
     
  • 3.41, Аноним (-), 14:10, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И повесить его через cloudflare обязательно, для безопасности :D
     

  • 1.51, Старый ниггер (?), 20:24, 11/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Почему не использовать путь разных серверов? Всех же не захакают. А те кто не парятся и так не будут заморачиваться всем этим.
     
     
  • 2.55, kmeaw (?), 00:51, 12/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Можно захакать канал до всех серверов. Например, линк между вами и ISP.
     

  • 1.60, Аноним (-), 18:15, 15/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > а аутентификация по ключам не получила распространение так как слишком усложнена для настройки

    Ну тут-то зато всё просто

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру