Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

TimeNL-dienst van SIDN Labs krijgt ondersteuning voor Network Time Security

De tijdsynchronisatiedienst TimeNL van SIDN Labs krijgt een experimentele Network Time Security-server. De huidige NTP-server wordt uitgebreid met een NTS-server die de veiligheid van het protocol moet vergroten.

De servers worden toegevoegd aan TimeNL, de publieke NTP-dienst van het SIDN waarmee systeem- en websitebeheerders hun systeemklokken kunnen synchroniseren met het internet. De publieke dienst op basis van het Network Time Protocol werd in juli uitgebracht door de Stichting Internet Domeinregistratie Nederland. Sindsdien is TimeNL gratis te gebruiken, maar het is volgens de tld-autoriteit ook 'een onderzoeksproject'. Volgens het SIDN is NTP niet volledig veilig, en zou het NTS-protocol beter kunnen werken.

Eén probleem met NTP is dat het relatief makkelijk is de afzenders van UDP-packages te vervalsen, en om een man-in-the-middle-aanval uit te voeren op een NTP-verbinding. Om dat te voorkomen heeft de standaardenautoriteit IETF een authenticatiemethode toegevoegd aan het protocol, op basis van symmetrische sleuteluitwisseling. De functie die is toegevoegd om dat proces te versimpelen, bevat echter ook verschillende kwetsbaarheden. Network Time Security zou zowel veiliger als gebruikersvriendelijker zijn, zegt het SIDN.

Het SIDN heeft daarom een experimentele NTS-server opgezet, schrijft de instantie in een blogpost. De server is bedoeld voor experimenten van SIDN zelf, maar de organisatie 'nodigt iedereen van harte uit er ook mee aan de slag te gaan'. Volgens het SIDN zijn er op internet nog maar weinig werkende NTS-servers beschikbaar. De organisatie wil daar verandering in brengen. Het SIDN zegt dat er inmiddels al enkele problemen aan het licht zijn gekomen via de server. Zo zou Cloudflares eigen NTP-software niet compatibel zijn met de dienst. De dienst heeft ook al geleid tot een NTS-cliënt die in Go is geschreven.

Door Tijs Hofmans

Redacteur privacy & security

06-12-2019 • 20:34

20 Linkedin Google+

Reacties (20)

Wijzig sortering
Interessant... Had nog niet eerder van dit protocol gehoord. Wie meer wil weten, kan hier terecht: https://blog.apnic.net/20...authentication-mechanism/
Maar waarom NTP niet gewoon een TLS TCP connectie geven? DNS kan in plaats van UDP ook overschakelen naar TCP..

De publieke key van de NTP server kan men publiceren in de DNS (PUBKEY record).

Daarnaast is het mij nog niet duidelijk waarom er authenticatie nodig is. Mag je soms de tijd niet weten zonder wachtwoord? Voor upstream time servers kun je gewoon werken met pinned certificaten zodat je alleen tijd correcties accepteert van vertrouwde servers..

Lijken mij een veel simpelere oplossingen dan weer een nieuw protocol..
Als je tijd wilt synchroniseren tot *tig cijfers na de komma, dan is overhead die TLS +TCP brengt, significant.
Met jouw vraag waarom dat NTP moet beveiligd worden: ik kan alvast bedenken dat een bedrijfsnetwerk dat gebruik maakt van Kerberos, gevoelig is voor tijdsverschillen tussen cliënt en server. Als je dus de tijdssynchronisatie van zo'n KDC server in de war kan sturen, kan je misschien wel authenticatie blokkeren. Met andere woorden: het Is een bijkomende attack vector voor kwaadwilligen.
Een fatsoenlijke tijd-synchronisatie is essentieel voor elke omgeving, maar dat gaat meer over dat alle systemen met elkaar kunnen praten, en dat b.v. de e-mails die binnenkomen de juiste timestamps hebben.

Ja, een aanvaller zou een MITM attack kunnen uitvoeren om de klokken van systemen te verzetten bij een organisatie volgens dit bericht, echter alleen waarom?

En weten ze niet dat geen enkele moderne NTP client een verschil van meer dan zoveel procent niet accepteerd, en gewoon negeerd?

Ik zie hier geen enkele aanval-vector in door kwaadwillenden, en vind dit dus een beetje een zinloze oplossing voor een probleem wat niet bestaat.
Ik werk bij een internationale financiële organisatie en wij hebben een paar systemen die wettelijk verplicht PTP (op de nanoseconden precies) moeten gebruiken. Dit zijn diensten die op de internationale aandelenmarkten handelen. Die koersen veranderen continu (meerdere keren per miliseconde) en dan is het dus van belang dat het altijd klopt.

Technisch hebben we dus gps antennes op het dak. De apparatuur heeft lichtradioactief materiaal wat de halfwaardetijd van wordt gemeten. Die tijd wordt dan gevoed aan speciale pci kaarten. De kaarten en de centrale apparaten houden ook bij wat de exacte onderlinge vertraging is.

Zover ik de software zelf begrijp wordt er dus naderhand (als in maximaal één seconder later) bepaald tegen welke koers er is ingekocht of verkocht.
Technisch hebben we dus gps antennes op het dak.
Interessant! Zijn dat alleen GPS-antennes, of ook antennes voor andere GNSS's zoals Galileo (EU), Glonass (RU) of Beidou (CN) ? Want anders creëer je wellicht weer een afhankelijkheid van alleen het Amerikaanse systeem en dat is misschien ook een risico. Plus dat het makkelijker is om een enkel GPS signaal te jammen, dan een 'gemengd' signaal.

TimeNL (https://time.nl/) heeft bijvoorbeeld GPS+Galileo+DCF77+andere NTP-servers+goede interne oscillator als referenties en backup. Een kan naast (gratis) NTP ook (tegen betaling) PTP leveren indien gewenst.

[Reactie gewijzigd door mdavids op 7 december 2019 10:09]

Dat zou ik eigenlijk niet weten. Het is voor ons een blackbox waar zeer precieze tijd uit komt :)
Ik heb ooit bij een bedrijfje een combi geplaatst.
DCF77 ism met een NTPserver online.

Ze hoeven geen exacte tijdswaarneming te hebben zoals beursinformatie, maar wilden wel hun servers / werkstations op orde houden.
Dit alles in een lichtgewicht PC, en deze dient dan als NTP-server verder

( ik zie dat dat ding nu tegen de 100€ kost bij Amazon, destijds ( jaar of 5 geleden ) was het er één rond de 25€ )
Dus voor hobby, rondshoppen in China, denk ik zomaar
Ik kan me wel voorstellen dat je door het veranderen van tijden behoorlijk wat services behoorlijk kan "zieken" hoor.
Tijd speelt in veel software een best grote rol: taken die op bepaalde tijden moeten draaien enzo. Door klokken te veranderen draaien die niet meer of juist te vaak. Code houd 0,0% rekening mee dat klokken ook "achteruit" kunnen lopen. Dus ja ook dit wil je veilig hebben.

Kleine toevoeging:
Nu zelf bezig met code schrijven waarin tijd belangrijk is en daar gebruik ik een steady clock. Dat is een klok die heel goed is in bijhouden van hoeveel tijd er is verstreken en nog voorbij moet gaan (ipv de echte tijd te gebruiken) ... ook al wordt de tijd "terug gedraaid" dan blijft het wel werken.

[Reactie gewijzigd door Pep7777 op 7 december 2019 06:34]

Nu zelf bezig met code schrijven waarin tijd belangrijk is en daar gebruik ik een steady clock. Dat is een klok die heel goed is in bijhouden van hoeveel tijd er is verstreken en nog voorbij moet gaan (ipv de echte tijd te gebruiken) ... ook al wordt de tijd "teruggedraaid" dan blijft het wel werken.
In dat opzicht is dit wellicht goed leesvoer:

https://tools.ietf.org/ht...p-implementation-guidance
Dank voor het meedenken, maar voor mijn toepassing is deze meer dan goed genoeg!

https://en.cppreference.com/w/cpp/chrono/steady_clock

Edit:
Mocht je het interessant vinden : Opening Keynote Meeting C++ 2019 - Howard Hinnant - Design Rationale for the chrono Library

[Reactie gewijzigd door Pep7777 op 7 december 2019 11:09]

Ik denk vooral aan denial-of-service aanvallen. Denk aan Kerberos wat gevoelig voor tijdsverschillen is.
Als aanvulling op Kerberos, denk ook aan encryptie/sleutels bij bv. IPSEC/TLS e.d. Ook hiervoor is een goede en stabiele tijd nodig. Als deze na verloop van tijd te ver uit elkaar loopt, is de key rotatie out-of-sync en klapt bijvoorbeeld tijdelijk de IPSEC eruit.
Ik zie hier geen enkele aanval-vector in door kwaadwillenden
Een NTP-aanval is zeker niet triviaal en niet beschikken over de (exact) juiste tijd is ook niet altijd een ramp. Toch moet je de risico's ook weer niet onderschatten. NTS is in essentie een simpele oplossing voor een mogelijk risico, dus waarom zou je het (in bepaalde situaties) niet willen?

Misschien helpt dit?

https://www.sidnfonds.nl/...-tekortkomingen-op-dnssec

of dit
https://pdfs.semanticscho...99982e53c665f19117c14.pdf
of dit
https://link.springer.com...1007/978-3-319-70972-7_23

[Reactie gewijzigd door mdavids op 7 december 2019 09:47]

Ja, een aanvaller zou een MITM attack kunnen uitvoeren om de klokken van systemen te verzetten bij een organisatie volgens dit bericht, echter alleen waarom?
Computers zijn afhankelijk van het hebben van een goede tijd. Draai maar een tijdje een computer zonder RTC zoals de Raspberry Pi Zero. Je komt vanzelf allerlei problemen tegen.

Kerberos is al genoemd. Een ander voorbeeld dat security gerelateerd is, is TOTP. Inderdaad ook TLS, en verlopen certificaten die ineens weer geldig zijn.
Ik zie hier geen enkele aanval-vector in door kwaadwillenden, en vind dit dus een beetje een zinloze oplossing voor een probleem wat niet bestaat.
Wel, dat probleem ligt dan vooral bij jouw gebrek aan verbeelding.
Als systemen die met elkaar communiceren uit de pas gaan lopen door verschil in tijd en domweg stoppen met onderling communiceren is dodelijk voor een cluster van databases, storage clusters en meer van die dingen, lijkt me schadelijk genoeg, of het echt schadelijk is afhankelijk van de toepassing natuurlijk.

Daarnaast is/was het NTP protocol te misbruiken voor een amplification attack. We hebben in het verleden vaak genoeg een DDOS over ons heen gehad die bijzonder krachtig was en vrij eenvoudig van opzet.
Eerste waar ik aan dacht: TOTP

Onderschep een TOTP wachtwoord en je kunt 'm gebruiken door de klok van de server terug te zetten. Of meer richting DoS door de servertijd verkeerd te zetten waardoor niemand meer kan inloggen.
Denk ook eens aan de geldigheid van certificaten...
Inderdaad, daar moest ik ook als eerste aan denken.
NTP is inderdaad voor verbetering vatbaar. Hopelijk doet dit nieuwe protocol het beter.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True