Bảo vệ máy chủ NTP khỏi các cuộc tấn công mạng

- Tin tức
Bảo vệ máy chủ NTP khỏi các cuộc tấn công mạng
Các chuyên gia an ninh mạng đã biết rằng phân phối thời gian chính xác là chìa khóa để duy trì các chương trình cơ sở hạ tầng quan trọng của họ. Tuy nhiên, giữ thời gian chính xác cũng là điều cơ bản đối với nhiều ứng dụng an ninh mạng. Chứng chỉ có ngày hết hạn kèm theo và nhật ký hệ thống thường chứa các dấu thời gian mà người vận hành dựa vào để chẩn đoán sự cố.

Trong vài năm qua, đã có nhiều nghiên cứu quan trọng về các cách mà giao thức NTP (được chỉ ra trong RFC 5905) có thể được bảo mật khỏi những kẻ tấn công độc hại. Những kẻ tấn công có thể nhắm mục tiêu một máy chủ NTP và sau khi có được quyền truy cập, thay đổi thời gian đang được phục vụ. Nhưng những kẻ tấn công có quyền truy cập vào mạng cũng có thể theo dõi lưu lượng NTP, tìm ra thông tin đăng nhập (chẳng hạn như địa chỉ IP) của một máy chủ NTP và cố gắng đánh lừa các máy NTP clients bằng cách giả mạo các gói từ máy chủ đó với các giá trị thời gian sai lệch.
Các cuộc tấn công giả mạo phổ biến này có thể dẫn đến thời gian không chính xác và nếu bạn sử dụng các nguồn thời gian từ bên ngoài tổ chức của mình dựa vào các mạng không nằm trong tầm kiểm soát của bạn chẳng hạn như thời gian kết nối internet, thì điều quan trọng hơn là phải đảm bảo rằng bạn có thời gian chính xác và nhất quán trên máy chủ của mình. Mặc dù ISP của bạn có thể thực hiện các bước để ngăn chặn loại giả mạo này, nhưng tốt hơn hết là bạn nên thực hiện các hành động phòng ngừa ở bất cứ đâu bạn có thể.
IETF đã phát hành RFC 8633, “Các phương pháp hay nhất về giao thức thời gian mạng”, bao gồm một số phương pháp về bảo mật mới. Nó bao gồm một cuộc thảo luận về cách giảm thiểu các loại tấn công mạng. Một trong số các Phương pháp được tóm tắt ở đây:

1.    Sử dụng nhiều máy chủ NTP Điều đơn giản nhất mà nhà điều hành mạng có thể làm là chỉ cần cấu hình máy khách của họ để sử dụng nhiều máy chủ NTP trên mạng. Cấu hình NTP này có thể xử lý nhiều nguồn thời gian cùng một lúc và loại bỏ một nguồn nếu nó không giống với phần còn lại. Điều này khiến công việc của kẻ tấn công trở nên khó khăn hơn, vì chúng sẽ cần phải tấn công lưu lượng truy cập NTP từ phần lớn các máy chủ để tác động đến các máy khách NTP.


2.    Theo dõi máy chủ NTP từ quan điểm của khách hàng Một phương pháp hay khác là sử dụng các nút ứng dụng NTP client để theo dõi tình trạng của các máy chủ NTP trên mạng. Giám sát trực tiếp máy chủ NTP là rất quan trọng, nó sẽ chỉ cho bạn biết nếu có sự cố với máy chủ cụ thể. Nếu bạn theo dõi nó từ phía máy khách, bạn có thể xem xét quá trình chuyển thời gian từ góc độ của máy khách và xem liệu có điều gì đáng ngờ xảy ra sau khi các gói rời khỏi máy chủ hay không.


3.    Sử dụng Tùy chọn mã hóa NTP Các gói ngang hàng NTP chứa thông tin nhạy cảm có thể được sử dụng trong một cuộc tấn công. Khi sử dụng các dịch vụ này, các nhà khai thác nên sử dụng các tùy chọn mã hóa NTP (chẳng hạn như khóa đối xứng hoặc danh sách kiểm soát truy cập). Điều này sẽ ngăn thông tin bị rò rỉ cho các bên trái phép, những người có thể sử dụng chúng trong một cuộc tấn công mạng.


4.    Theo dõi việc khởi động lại máy khách NTP thực hiện công việc phát hiện và bỏ qua các gói cho biết sự thay đổi thời gian lớn. RFC 5905 gọi đây là ngưỡng hoảng sợ, được đặt theo mặc định là 1000s. Tuy nhiên, RFC cũng tuyên bố rằng NTP clients nên thoát khi nó nhận thấy một sự thay đổi thời gian lớn như thế này. Vấn đề với điều này là hầu hết các hệ điều hành hiện đại sẽ khởi động lại một dịch vụ quan trọng như NTP khi nó thoát ra sau một khoảng thời gian đáng kể. Khi  NTP daemon khởi động lại, nó có thể được cấu hình để bỏ qua ngưỡng này. Điều này có nghĩa là kẻ tấn công chiếm một máy chủ NTP đang hoạt động có thể buộc máy khách (clients) dịch chuyển đến sai thời gian chỉ đơn giản bằng cách gửi sai thời gian liên tục đủ để máy khách sẽ khởi động lại hệ thống. Một số bước có thể được thực hiện để giảm thiểu điều này:

  • Chủ động theo dõi nhật ký hệ thống. Một số máy khách NTP khởi động lại cùng lúc có thể là dấu hiệu cho thấy máy chủ không trung thực.
  • Cấu hình NTP clients của bạn để bỏ qua ngưỡng hoảng sợ khi khởi động lại. Điều này có thể dẫn đến việc những khách hàng đó hoàn toàn không sử dụng dịch vụ NTP trong trường hợp bị tấn công, nhưng ít nhất họ sẽ không sử dụng sai thời gian.
  • Nếu bạn đang sử dụng nhiều máy chủ NTP, hãy tăng số lượng máy chủ tối thiểu cần thiết trước khi các máy khách NTP điều chỉnh đồng hồ.

 

Tất cả người dùng NTP có thể sử dụng các phương pháp này để giảm thiểu các cuộc tấn công vào dịch vụ và đảm bảo rằng mạng của họ luôn có thời gian chính xác.


Đánh giá - Bình luận
Nhấn vào đây để đánh giá
Sản phẩm liên quan
0.02299 sec| 2079.969 kb