Protegendo NTP: qual método usar?

7

Alguém bem na configuração NTP pode compartilhar qual método é o melhor / mais fácil de implementar uma versão segura e à prova de violação do NTP? Aqui estão algumas dificuldades ...

  1. Eu não tenho o luxo de ter minha própria fonte de tempo do stratum 0, então preciso contar com servidores de horário externos.

  2. Devo ler o método AutoKey ou devo tentar seguir a rota MD5?

  3. Com base no que sei sobre criptografia simétrica, parece que o método MD5 depende de um conjunto pré-acordado de chaves (criptografia simétrica) entre o cliente e o servidor e, portanto, está propenso a gerenciar ataque no meio do caminho.

  4. AutoKey, por outro lado, não parece funcionar por trás de um NAT ou de um host de mascaramento . Isso ainda é verdade, a propósito? (Este link de referência é datado de 2004, então não tenho certeza do que é o estado da arte hoje.)

    4.1 Estão disponíveis servidores de horário públicos que falam AutoKey?

  5. Eu naveguei pelo livro NTP de David Mills. O livro parece excelente de certa forma (afinal, vindo do criador do NTP), mas as informações nele contidas também são impressionantes. Eu só preciso primeiro configurar uma versão segura do NTP e, em seguida, pode ser mais tarde se preocupar com seus fundamentos de arquitetura e engenharia.

Alguém por favor pode me passar por essas águas NTP que estão se afogando? Não precisa necessariamente de uma configuração de trabalho de você, apenas informações sobre qual modo NTP / config para tentar e também pode ser um servidor de horário público que suporta esse modo / configuração.

Muito obrigado,

/ HS

    
por Harry 08.11.2010 / 06:48

1 resposta

3

A resposta final é aqui .

Obrigado, na verdade, a David Mills e Danny Mayer por responderem à pergunta.

Para resumir:

Symmetric key cryptography works fine behind a NAT box. See the Authentication Support page in the official NTP documentation on ntp.org. As I said, the intended Autokey model is for the server and client to live on the Internet side of the NAT box and have it serve time to the internal network via a separate interface.

Além disso,

Here's Dr. Mills' PowerPoint slides describing the NTP Security Model:

http://www.ece.udel.edu/~mills/database/brief/autokey/autokey.ppt

    
por 10.11.2010 / 17:21