NTPsec, vylepšená implementace NTP

Darkcrizt

5 minut

ntpsec

logo ntpsec

NTPsec je projekt s otevřeným zdrojovým kódem která se zaměřuje na rozvoj bezpečnou a vylepšenou implementaci protokolu Network Time Protocol (NTP), který se široce používá k synchronizaci hodin počítačových systémů v síti, což zajišťuje přesné a konzistentní měření času.

Tento typ komponent, jsou obvykle ty, které většina uživatelů ignoruje (a zahrnuji i sebe, protože jsem ještě před několika měsíci nechápal důležitost tohoto malého protokolu), protože je to něco, co stojí za našimi každodenními životy, je to něco, co zůstává nepovšimnuto.

V mém případě jsem objevil důležitost NTP když jsem chtěl provést "jednoduchou aktualizaci" svého systému (Arco Linux), který jsem nechal několik měsíců neotevřený. Abych to zkrátil, poté, co byly všechny aktualizace staženy a teoreticky měly být nainstalovány, se jednoduše nenainstalovaly, protože jsem měl problém s klíči OpenPGP v balíčcích a ze zjevných důvodů jsem opustil systém měsíců, to způsobilo vážný problém.

Poté, co jsem udělal 101 věcí a vyzkoušel všechno a dokonce i vymítal svůj počítač, jsem svůj problém prostě nedokázal vyřešit a nejbližší řešení bylo přeinstalovat systém od začátku, což se mi nelíbilo.

Během celého procesu pokusu o vyřešení problému jsem si všiml toho, že čas v mém systému byl odlišný od času v mém umístění a provedl jsem malý průzkum, že malá změna času způsobila problém při pokusu o import nových klíčů (jak bylo zmíněno požehnaný arch wiki). Když jsem si to přečetl, první věc, kterou jsem vygeneroval, bylo plácnutí na čelo a pokračoval jsem ve snaze změnit čas a okamžitě jsem přistoupil k restartu, abych zkontroloval, zda je datum a čas BIOSu správné, což byly. Poté jsem systém znovu spustil, abych se připravil na provedení změny, jako by to byl běžný proces ve Windows nebo Androidu, což byla vážná chyba mít návyky před analýzou.

Bez ohledu na to, jak moc jsem se snažil problém vyřešit tím či oním způsobem, problém v mém systému způsoboval balíček ntp v mé instalaci, z nějakého důvodu, že jsem nikdy nemohl vyřešit, mi tento balíček prostě dělal problémy. Zde jsem našel NTPsec, což bylo mé řešení po několika pokusech vyřešit můj problém.

NTPsec je vylepšená implementace NTP, která obsahuje mnoho vylepšení zabezpečení., protože má implementace standardu IETF Network Time Security pro silnou kryptografickou autentizaci časové služby. Celkový, bylo zcela odstraněno více než 74 % kódové základny NTP Classica do jádra kritického pro bezpečnost bylo přidáno méně než 5 % nového kódu a je zde také důslednější využití nanosekundové přesnosti.

Mezi bezpečnostní vylepšení patří odstranil zastaralé režimy a funkce, přijal standard NTP Client Data Minimization RFC a bylo začleněno zabezpečení sítě. Kromě toho byly provedeny změny v synchronizaci času a vylepšení klientských nástrojů s novými nástroji jako ntpmon a ntpviz pro monitorování v reálném čase a vizualizaci dat.

Když si to trochu vysvětlíme, pochopíme trochu více důležitost této „malé“ komponenty, která běžnému uživateli způsobila několik bolestí hlavy a v kritických prostředích si nechci představovat katastrofu, kterou může způsobit.

Vzhledem k „ne tak rozsáhlému“ vysvětlení důležitosti NTP je důvodem pro vyprávění mého malého „dobrodružství“ to, že Nedávno byla vydána nová verze NTPsec 1.2.3:

Mezi vylepšeními v nové verzi Patří sem:

  • Změněno zarovnání paketů řídicího protokolu Mode 6, které by mohlo ovlivnit podporu klasického NTP. Režim 6 se používá k přenosu informací o stavu serveru a změně chování v reálném čase.
  • Šifrovací algoritmus AES byl standardně implementován v ntpq.
  • Použití mechanismu Seccomp k blokování špatných názvů systémových volání.
  • Bylo povoleno hodinové shromažďování statistik restartu s dalším protokolováním pro NTS, NTS-KE a ms-sntp.
  • Zahrnutí možnosti "aktualizace" do buildprep.
  • Vylepšení prezentace dat o zpoždění paketů ve výstupu ntpdig JSON.
  • Přidána podpora pro seznam ecdhcurves.
  • Opravená kompilace na platformách, které -fstack-protector závisí na libssp, jako je musl.
  • Opraven pád ntpdig při použití 2.ntp.pool.org s hostitelem bez podpory IPv6.

Konečně, pokud jste iChcete se o tom dozvědět více, můžete zkontrolovat podrobnosti v Následující odkaz.


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Za data odpovídá: AB Internet Networks 2008 SL
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.