TimeNL-dienst van SIDN Labs krijgt ondersteuning voor Network Time Security

De tijdsynchronisatiedienst TimeNL van SIDN Labs krijgt een experimentele Network Time Security-server. De huidige NTP-server wordt uitgebreid met een NTS-server die de veiligheid van het protocol moet vergroten.

De servers worden toegevoegd aan TimeNL, de publieke NTP-dienst van het SIDN waarmee systeem- en websitebeheerders hun systeemklokken kunnen synchroniseren met het internet. De publieke dienst op basis van het Network Time Protocol werd in juli uitgebracht door de Stichting Internet Domeinregistratie Nederland. Sindsdien is TimeNL gratis te gebruiken, maar het is volgens de tld-autoriteit ook 'een onderzoeksproject'. Volgens het SIDN is NTP niet volledig veilig, en zou het NTS-protocol beter kunnen werken.

Eén probleem met NTP is dat het relatief makkelijk is de afzenders van UDP-packages te vervalsen, en om een man-in-the-middle-aanval uit te voeren op een NTP-verbinding. Om dat te voorkomen heeft de standaardenautoriteit IETF een authenticatiemethode toegevoegd aan het protocol, op basis van symmetrische sleuteluitwisseling. De functie die is toegevoegd om dat proces te versimpelen, bevat echter ook verschillende kwetsbaarheden. Network Time Security zou zowel veiliger als gebruikersvriendelijker zijn, zegt het SIDN.

Het SIDN heeft daarom een experimentele NTS-server opgezet, schrijft de instantie in een blogpost. De server is bedoeld voor experimenten van SIDN zelf, maar de organisatie 'nodigt iedereen van harte uit er ook mee aan de slag te gaan'. Volgens het SIDN zijn er op internet nog maar weinig werkende NTS-servers beschikbaar. De organisatie wil daar verandering in brengen. Het SIDN zegt dat er inmiddels al enkele problemen aan het licht zijn gekomen via de server. Zo zou Cloudflares eigen NTP-software niet compatibel zijn met de dienst. De dienst heeft ook al geleid tot een NTS-cliënt die in Go is geschreven.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 06-12-2019 20:34 20

06-12-2019 • 20:34

20

Lees meer

Het Network Time Protocol

11 aug 2021

Het Network Time Protocol

De wankele basis van kloksynchronisatie

108
VS waarschuwen voor kans op mondiale gps-tijdssynchronisatieproblemen op zondag
VS waarschuwen voor kans op mondiale gps-tijdssynchronisatieproblemen op zondag Nieuws van 23 oktober 2021
SIDN behaalt mijlpaal van zes miljoen geregistreerde .nl-domeinnamen
SIDN behaalt mijlpaal van zes miljoen geregistreerde .nl-domeinnamen Nieuws van 19 juni 2020
Microsoft stopt op 14 januari ook met ondersteuning Security Essentials
Microsoft stopt op 14 januari ook met ondersteuning Security Essentials Nieuws van 10 december 2019
SIDN vindt phishingsites die zich via typosquatting op zorgverzekeraars richten
SIDN vindt phishingsites die zich via typosquatting op zorgverzekeraars richten Nieuws van 11 september 2018
Kwart van de websites in Nederland maakt geen gebruik van beveiligde verbinding
Kwart van de websites in Nederland maakt geen gebruik van beveiligde verbinding Nieuws van 14 juli 2018
SIDN werkt aan systeem om malafide websites met .nl-domein sneller op te sporen
SIDN werkt aan systeem om malafide websites met .nl-domein sneller op te sporen Nieuws van 20 juni 2018
Tool voor detectie malafide sites wint Dutch Open Hackathon
Tool voor detectie malafide sites wint Dutch Open Hackathon Nieuws van 29 mei 2018
Meer producten en artikelen
Beveiliging en antivirus Internettoegang Network time protocol Ntp SIDN

Reacties (20)

-Moderatie-faq
20
20
15
1
0
3
Wijzig sortering

Sorteer op:

Weergave:
zenlord 6 december 2019 21:25
Interessant... Had nog niet eerder van dit protocol gehoord. Wie meer wil weten, kan hier terecht: https://blog.apnic.net/20...authentication-mechanism/
Niemand_Anders @zenlord9 december 2019 11:06
Maar waarom NTP niet gewoon een TLS TCP connectie geven? DNS kan in plaats van UDP ook overschakelen naar TCP..

De publieke key van de NTP server kan men publiceren in de DNS (PUBKEY record).

Daarnaast is het mij nog niet duidelijk waarom er authenticatie nodig is. Mag je soms de tijd niet weten zonder wachtwoord? Voor upstream time servers kun je gewoon werken met pinned certificaten zodat je alleen tijd correcties accepteert van vertrouwde servers..

Lijken mij een veel simpelere oplossingen dan weer een nieuw protocol..
zenlord @Niemand_Anders9 december 2019 22:03
Als je tijd wilt synchroniseren tot *tig cijfers na de komma, dan is overhead die TLS +TCP brengt, significant.
Met jouw vraag waarom dat NTP moet beveiligd worden: ik kan alvast bedenken dat een bedrijfsnetwerk dat gebruik maakt van Kerberos, gevoelig is voor tijdsverschillen tussen cliënt en server. Als je dus de tijdssynchronisatie van zo'n KDC server in de war kan sturen, kan je misschien wel authenticatie blokkeren. Met andere woorden: het Is een bijkomende attack vector voor kwaadwilligen.
Verwijderd 7 december 2019 03:17
Een fatsoenlijke tijd-synchronisatie is essentieel voor elke omgeving, maar dat gaat meer over dat alle systemen met elkaar kunnen praten, en dat b.v. de e-mails die binnenkomen de juiste timestamps hebben.

Ja, een aanvaller zou een MITM attack kunnen uitvoeren om de klokken van systemen te verzetten bij een organisatie volgens dit bericht, echter alleen waarom?

En weten ze niet dat geen enkele moderne NTP client een verschil van meer dan zoveel procent niet accepteerd, en gewoon negeerd?

Ik zie hier geen enkele aanval-vector in door kwaadwillenden, en vind dit dus een beetje een zinloze oplossing voor een probleem wat niet bestaat.
lenwar
@Verwijderd7 december 2019 07:36
Ik werk bij een internationale financiële organisatie en wij hebben een paar systemen die wettelijk verplicht PTP (op de nanoseconden precies) moeten gebruiken. Dit zijn diensten die op de internationale aandelenmarkten handelen. Die koersen veranderen continu (meerdere keren per miliseconde) en dan is het dus van belang dat het altijd klopt.

Technisch hebben we dus gps antennes op het dak. De apparatuur heeft lichtradioactief materiaal wat de halfwaardetijd van wordt gemeten. Die tijd wordt dan gevoed aan speciale pci kaarten. De kaarten en de centrale apparaten houden ook bij wat de exacte onderlinge vertraging is.

Zover ik de software zelf begrijp wordt er dus naderhand (als in maximaal één seconder later) bepaald tegen welke koers er is ingekocht of verkocht.
mdavids @lenwar7 december 2019 09:54
Technisch hebben we dus gps antennes op het dak.
Interessant! Zijn dat alleen GPS-antennes, of ook antennes voor andere GNSS's zoals Galileo (EU), Glonass (RU) of Beidou (CN) ? Want anders creëer je wellicht weer een afhankelijkheid van alleen het Amerikaanse systeem en dat is misschien ook een risico. Plus dat het makkelijker is om een enkel GPS signaal te jammen, dan een 'gemengd' signaal.

TimeNL (https://time.nl/) heeft bijvoorbeeld GPS+Galileo+DCF77+andere NTP-servers+goede interne oscillator als referenties en backup. Een kan naast (gratis) NTP ook (tegen betaling) PTP leveren indien gewenst.

[Reactie gewijzigd door mdavids op 24 juli 2024 06:35]

lenwar
@mdavids7 december 2019 14:17
Dat zou ik eigenlijk niet weten. Het is voor ons een blackbox waar zeer precieze tijd uit komt :)
FreshMaker @mdavids7 december 2019 15:09
Ik heb ooit bij een bedrijfje een combi geplaatst.
DCF77 ism met een NTPserver online.

Ze hoeven geen exacte tijdswaarneming te hebben zoals beursinformatie, maar wilden wel hun servers / werkstations op orde houden.
Dit alles in een lichtgewicht PC, en deze dient dan als NTP-server verder

( ik zie dat dat ding nu tegen de 100€ kost bij Amazon, destijds ( jaar of 5 geleden ) was het er één rond de 25€ )
Dus voor hobby, rondshoppen in China, denk ik zomaar
Pep7777 @Verwijderd7 december 2019 06:32
Ik kan me wel voorstellen dat je door het veranderen van tijden behoorlijk wat services behoorlijk kan "zieken" hoor.
Tijd speelt in veel software een best grote rol: taken die op bepaalde tijden moeten draaien enzo. Door klokken te veranderen draaien die niet meer of juist te vaak. Code houd 0,0% rekening mee dat klokken ook "achteruit" kunnen lopen. Dus ja ook dit wil je veilig hebben.

Kleine toevoeging:
Nu zelf bezig met code schrijven waarin tijd belangrijk is en daar gebruik ik een steady clock. Dat is een klok die heel goed is in bijhouden van hoeveel tijd er is verstreken en nog voorbij moet gaan (ipv de echte tijd te gebruiken) ... ook al wordt de tijd "terug gedraaid" dan blijft het wel werken.

[Reactie gewijzigd door Pep7777 op 24 juli 2024 06:35]

mdavids @Pep77777 december 2019 09:34
Nu zelf bezig met code schrijven waarin tijd belangrijk is en daar gebruik ik een steady clock. Dat is een klok die heel goed is in bijhouden van hoeveel tijd er is verstreken en nog voorbij moet gaan (ipv de echte tijd te gebruiken) ... ook al wordt de tijd "teruggedraaid" dan blijft het wel werken.
In dat opzicht is dit wellicht goed leesvoer:

https://tools.ietf.org/ht...p-implementation-guidance
Pep7777 @mdavids7 december 2019 11:06
Dank voor het meedenken, maar voor mijn toepassing is deze meer dan goed genoeg!

https://en.cppreference.com/w/cpp/chrono/steady_clock

Edit:
Mocht je het interessant vinden : Opening Keynote Meeting C++ 2019 - Howard Hinnant - Design Rationale for the chrono Library

[Reactie gewijzigd door Pep7777 op 24 juli 2024 06:35]

downtime @Verwijderd7 december 2019 08:53
Ik denk vooral aan denial-of-service aanvallen. Denk aan Kerberos wat gevoelig voor tijdsverschillen is.
Gillie @downtime7 december 2019 13:06
Als aanvulling op Kerberos, denk ook aan encryptie/sleutels bij bv. IPSEC/TLS e.d. Ook hiervoor is een goede en stabiele tijd nodig. Als deze na verloop van tijd te ver uit elkaar loopt, is de key rotatie out-of-sync en klapt bijvoorbeeld tijdelijk de IPSEC eruit.
mdavids @Verwijderd7 december 2019 09:46
Ik zie hier geen enkele aanval-vector in door kwaadwillenden
Een NTP-aanval is zeker niet triviaal en niet beschikken over de (exact) juiste tijd is ook niet altijd een ramp. Toch moet je de risico's ook weer niet onderschatten. NTS is in essentie een simpele oplossing voor een mogelijk risico, dus waarom zou je het (in bepaalde situaties) niet willen?

Misschien helpt dit?

https://www.sidnfonds.nl/...-tekortkomingen-op-dnssec

of dit
https://pdfs.semanticscho...99982e53c665f19117c14.pdf
of dit
https://link.springer.com...1007/978-3-319-70972-7_23

[Reactie gewijzigd door mdavids op 24 juli 2024 06:35]

Jerie @Verwijderd7 december 2019 14:05
Ja, een aanvaller zou een MITM attack kunnen uitvoeren om de klokken van systemen te verzetten bij een organisatie volgens dit bericht, echter alleen waarom?
Computers zijn afhankelijk van het hebben van een goede tijd. Draai maar een tijdje een computer zonder RTC zoals de Raspberry Pi Zero. Je komt vanzelf allerlei problemen tegen.

Kerberos is al genoemd. Een ander voorbeeld dat security gerelateerd is, is TOTP. Inderdaad ook TLS, en verlopen certificaten die ineens weer geldig zijn.
Ik zie hier geen enkele aanval-vector in door kwaadwillenden, en vind dit dus een beetje een zinloze oplossing voor een probleem wat niet bestaat.
Wel, dat probleem ligt dan vooral bij jouw gebrek aan verbeelding.
[NUT] @Verwijderd7 december 2019 21:49
Als systemen die met elkaar communiceren uit de pas gaan lopen door verschil in tijd en domweg stoppen met onderling communiceren is dodelijk voor een cluster van databases, storage clusters en meer van die dingen, lijkt me schadelijk genoeg, of het echt schadelijk is afhankelijk van de toepassing natuurlijk.

Daarnaast is/was het NTP protocol te misbruiken voor een amplification attack. We hebben in het verleden vaak genoeg een DDOS over ons heen gehad die bijzonder krachtig was en vrij eenvoudig van opzet.
AmazingDreams @Verwijderd8 december 2019 09:58
Eerste waar ik aan dacht: TOTP

Onderschep een TOTP wachtwoord en je kunt 'm gebruiken door de klok van de server terug te zetten. Of meer richting DoS door de servertijd verkeerd te zetten waardoor niemand meer kan inloggen.
pkuyper 7 december 2019 10:03
Denk ook eens aan de geldigheid van certificaten...
3dfx @pkuyper7 december 2019 17:24
Inderdaad, daar moest ik ook als eerste aan denken.
mutley69 7 december 2019 23:26
NTP is inderdaad voor verbetering vatbaar. Hopelijk doet dit nieuwe protocol het beter.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq