保护NTP:使用哪种方法?

7

能否擅长NTP配置,请分享哪种方法最/容易实现安全,防篡改的NTP版本?这里有一些困难...

  1. 我没有自己的第0层时间源,因此必须依赖外部时间服务器。

  2. 我应该阅读AutoKey方法还是应该尝试MD5路线?

  3. 根据我对对称密码学的了解,MD5方法似乎依赖于客户端和服务器之间的一组预先商定的密钥(对称密码学),因此容易受到中间人攻击。

  4. 另一方面,AutoKey在NAT或伪装的主机后面似乎不起作用。顺便说一句,这仍然是真的吗?(此参考链接的日期为2004年,所以我不确定今天的技术水平。)

    4.1是否有可用的公共自动按键通话时间服务器?

  5. 我浏览了David Mills撰写的NTP书。这本书在某种程度上看起来很棒(毕竟来自NTP创建者),但是其中的信息也很丰富。我只需要先配置NTP的安全版本,然后再担心它的体系结构和工程基础。

有人可以在这些淹没的NTP水域中把我叫醒吗?不一定需要您提供有效的配置,只需提供有关尝试使用哪种NTP模式/配置的信息,也可以是支持该模式/配置的公共时间服务器。

非常感谢,

/ HS

security  ntp  md5 
哈里
source
如果您非常关注安全性和非常精确的时间记录,为什么不使用GPS加密狗而不是NTP?
symcbean 2010年
不,解决方案必须基于NTP。做出这样的决定不是我的产品或公司。:-(不过,我还是谢谢你抽出时间来写。
哈里

Answers:

3

最终答案在这里

实际上要感谢David Mills和Danny Mayer回答了这个问题。

总结一下:

对称密钥加密在NAT盒后面工作良好。请参阅ntp.org上官方NTP文档中的“身份验证支持”页面。就像我说的那样,预期的自动密钥模型是让服务器和客户端位于NAT框的Internet端,并通过单独的接口将时间提供给内部网络。

也,

这是Mills博士的PowerPoint幻灯片,描述了NTP安全模型:

http://www.ece.udel.edu/~mills/database/brief/autokey/autokey.ppt

哈里
source
3
请在这里总结。这符合本网站的要求,对我有帮助。
jnm2 '16
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.