NTP 4 fornece autenticação e alguns servidores fornecem isso.
GPS e NTP são duas fontes de tempo muito típicas quando relógios precisos são necessários. No entanto, cada um tem uma falha importante. O NTP não fornece autenticação da fonte de horário e, portanto, pode ser vulnerável a spoofing. O GPS não funciona muito bem dentro das paredes de um datacenter.
O tempo preciso é uma preocupação operacional por várias razões, além de ser uma preocupação de segurança devido a itens como duração de token de sessão, expiração de chave, limitação de taxa, restrições de hora do dia e análise de padrão comportamental em apoio a medidas antifraude. O retrocesso do relógio introduz instabilidade em alguns protocolos de rede que podem criar cenários exploráveis; O escalonamento ou representação de privilégios de IRC ("equitação dividida") é o exemplo típico.
Também é extremamente importante que esse tempo seja consistente com o tempo obtido de fontes padrão, para evitar desvios durante a interrupção da rede (ou a exploração por interrupção do serviço de tempo).
Assim, que tecnologia ou técnica pode ser usada para fornecer tempo preciso e confiável (dentro de um segundo, de preferência) em sincronia com o UTC, onde o GPS e outros relógios de rádio são ineficazes, evitando a necessidade de manualmente confirmar a fonte de tempo?
NTP 4 fornece autenticação e alguns servidores fornecem isso.
Certifique-se de que seus sistemas estão se aproximando uns dos outros. Autentique a comunicação entre eles. Esta parte destina-se a garantir que um atacante não possa fazer com que seus sistemas se desviem um do outro.
Coloque um limite na alteração no desvio. Se todos os seus sistemas estivessem sincronizando uns com os outros, mas sem fonte externa, eles provavelmente estariam vagando devagar, mas o desvio não variaria drasticamente. A compensação que o NTP precisaria aplicar deveria ser praticamente constante.
Alerta se o desvio se aproxima do limiar.
Obviamente, os limites terão que depender da precisão que você precisa. Manter suas próprias máquinas dentro de 1ms uma da outra e dentro de 1s do resto do mundo é preciso o suficiente para a maioria das necessidades.
GPS doesn't work very well inside the walls of a datacentre.
Você só precisa da antena GPS para estar perto de uma janela ou de fora. Se este for um datacenter, e a precisão de tempo é a mais crítica para você, você deve ter o orçamento para um empreiteiro fazer um buraco no telhado ou na lateral do prédio para montar a antena do lado de fora. Você pode executar a antena de volta para dentro via cabo / conduíte de volta para dentro, onde o receptor GPS / servidor NTP vive (em seu rack ou em um armário em algum lugar).
Você pode comprar um dispositivo servidor GPS NTP por um custo razoável ou pode criar o seu próprio um PC sobressalente ou servidor 1U, uma porta USB ou GPS serial e uma distro Linux. Você também precisará de uma antena GPS com classificação externa.
Tivemos um empreiteiro montando uma antena na grama do lado de fora em um poste simples e passando o fio em um conduto enterrado. Não foi tão caro.
Se você tiver vários sites, configure um servidor GPS NTP em cada local para que eles tenham uma fonte autorizada e verifique também se os servidores de cada site estão interligados pelo link VPN seguro entre os dois datacenters.
Bônus Paranoia: Se você está preocupado com um ataque direcionado com um sinal de GPS rouge para interromper a sua fonte de tempo, você também pode adicionar outras fontes de tempo de hardware para a mistura ( WWVB e CDMA ).
Independentemente da sua implementação específica, você também deve ter limites max / min configurados em todas as suas fontes de tempo de entrada, por isso, se algo começar a transmitir um registro de tempo altamente impreciso, você sabe que deve ignorá-lo. Houve um incidente em 2012 onde um servidor NTP da Marinha reverte para o ano 2000 e causou estragos.Tags time datacenter