Faror med ledig tid
Postat av Richard N Williams on Juni 26th, 2009
Vi letar alla efter freebies, särskilt i det nuvarande ekonomiska klimatet och internet är inte kortfattat av dem. Fri programvara, gratis filmer, fri musik, nästan allt idag har en gratis version. Även kritiska applikationer för våra datorer och nätverk som anti-virus kan komma ifrån. Så det är förståeligt att när nätverksadministratörer vill synkronisera tiden på datornätverk, vänder de sig till lediga källor till UTC-tid (UTC - Koordinerad Universal Time) för att synkronisera sina nätverk med operativsystemens egna inbyggda NTP-server.
Men precis som det inte finns något sådant som en gratis lunch, kommer frittidskällor med en kostnad också. Till att börja med alla tidsservrar på internet som är tillgängliga för allmänheten att använda är stratum 2-servrar. Det betyder att de är enheter som tar emot tiden från en annan enhet (en stratum 1-tidsserver) som får den från en atomur. Medan den andra handkällan inte bör förlora för mycket tid jämfört med originalet, för höga noggrannhet kommer det att bli en märkbar drift.
Dessutom är internetkällor baserade utanför nätverksväggen. För tillgång till tidsservern behöver en UDP-port vara öppen. Detta kommer att innebära att nätverksväggen i princip kommer att ha ett hål i det som kan manipuleras med en skadlig användare eller aggressiv skadlig kod.
En annan övervägning är den inbyggda säkerheten att tidsöverföringsprotokollet NTP (Network Time Protocol) använder för att bedöma den tidssignal den mottar är äkta. Detta kallas autentisering men är inte tillgängligt över internet. Att betrakta tidskällan kanske inte är vad den hävdar att vara och med ett hål i brandväggen kan leda till en ondskad attack.
Internetkällor kan också vara opålitliga. Många är för långt från klienterna för att ge någon riktig noggrannhet. Källor som finns tillgängliga på internet är vilda ute (vissa i timmar inte bara några minuter). Det finns dock mer välrenommerade stratum 2-servrar tillgängliga och NTP-poolen har detaljer om dem.
För verklig noggrannhet med ingen av säkerhetshoten är den bästa lösningen att använda en extern tidskälla. Den bästa metoden för att göra detta är att använda en dedikerad NTP-server. Dessa enheter fungerar externt mot brandväggen och tar emot tiden antingen direkt från GPS-satelliter eller via sändningar av nationella fysiklaboratorier som NIST or NPL.