NTP Autokey IFF não funciona como esperado

1

A) ARQUITETURA ALVO

Temos um projeto em que a arquitetura de sincronização de tempo do NTP de destino é a seguinte:

  • Servidores da Stratum 1 fornecidos pelo cliente.
  • Servidores Stratum 2: dispositivos Spectracom SecureSync fornecidos por nós.
  • Estrato 3: máquinas do usuário final.

Toda a sincronização NTP deve ser autenticada usando o Autokey IFF.

B) CONFIGURAÇÃO DO LABORATÓRIO DE TESTE

Em nosso laboratório, simulamos a arquitetura de destino com as três máquinas a seguir:

  • Servidor 1 da Stratum "vm-centos7-srv": CentOS 7 VM com o ntpd 2.4.6, usando o relógio local como referência.
  • Servidor "Strpsum 2" ntpsrv ": appliance Spectracom SecureSync 1200.
  • Cliente da Stratum 3 "vm-centos7-cli": VM do CentOS 7 com ntpd 2.4.6.

Na terminologia Autokey, as máquinas têm as seguintes funções:

  • vm-centos7-srv: servidor e host confiável (TH) - > gera a chave do grupo IFF.
  • ntpsrv: server (não TH) - > tem uma cópia da chave do grupo IFF "vm-centos7-srv".
  • vm-centos7-cli: cliente - > tem uma cópia dos parâmetros públicos IFF "vm-centos7-srv".

As máquinas são sincronizadas corretamente e não relatam erros. No entanto, "vm-centos7-cli" não tem o sinalizador IFF definido, ou seja, tem "sinalizadores = 0x87f03" em vez do esperado "sinalizadores = 0x87f23".

Além disso, se excluirmos todas as chaves (host e grupo) em "vm-centos7-srv", gerar tudo novamente e reiniciar o ntpd, as outras máquinas continuarão a sincronizar, autenticar e confiar nesse host. Isso significa que a autenticação Autokey é inútil, já que qualquer servidor não autorizado pode representar uma máquina de estrato 1.

C) ARQUITETURA SIMPLIFICADA

Ao simplificar a configuração sincronizando "vm-centos7-cli" diretamente com "vm-centos7-srv", o sinalizador IFF é definido em "vm-centos7-cli". As bandeiras se tornam 0x417f21 (não sei porque o prefixo é diferente, 41 em vez de 8). No entanto, neste caso, mesmo quando o arquivo de parâmetros do grupo é excluído do cliente e o ntpd é reiniciado, os sinalizadores permanecem os mesmos, embora o IFF não deva funcionar.

A configuração de ambas as VMs do CentOS 7 foi feita de acordo com a página oficial do ntpd: link

A opção "-c RSA-SHA1" foi adicionada aos comandos ntp-keygen.

D) PERGUNTAS

  • A arquitetura de destino (isto é, 1 grupo IFF com TH / server / client) é viável?
  • Na arquitetura completa, por que o cliente não consegue concluir a autenticação do IFF?
  • Por que o servidor não-TH ainda autentica e sincroniza quando as chaves foram alteradas no TH?
  • Na arquitetura simplificada, por que o cliente tem o bit IFF ativado mesmo quando ele não tem os parâmetros do grupo IFF configurados?
  • Qual é o significado dos primeiros dígitos nas bandeiras? Apenas os 4 últimos dígitos são documentados, não o primeiro 1 ou 2.

Desculpe por este mural de texto e agradecemos antecipadamente por qualquer informação e ajuda.

    
por it_man 19.01.2018 / 13:39

0 respostas

Tags