تنظیم NTS امن NTP با NTPsec

: سرور زمان NTP مقصد (نام DNS یا آدرس IP)

iburst: 8 درخواست NTP را مستقیماً پس از راه اندازی ارسال می کند

minpoll : حداقل فاصله درخواست ( قدرت دو)

maxpoll : حداکثر فاصله درخواست (برای مثال: "6" به معنی 2 ^ 6 = 64 ثانیه)

nts: [NTS] پشتیبانی از NTS را ممکن می کند

ca : [NTS] گواهینامه CA معتبر root برای سرور

noval: [NTS] تأیید DNS را رد می کند

server 127.127.1.0 را ترجیح دهید

fudge 127.127.1.0 stratum 10

nts cert /var/lib/ntp/certs/serverCert.pem key /var/lib/ntp/certs/serverKey.pemociation19659397 را در این مثال از ساعت محلی استفاده می کنیم منبع زمان مرجع ، که ما به کلیه مشتریان متصل توزیع می کنیم. هنگام فعال کردن NTS ، باید یک گواهی سرور و کلید خصوصی را مشخص کنیم. این ممکن است به صورت دستی ایجاد شده باشد یا توسط یک نمونه خارجی CA صادر شده باشد (به عنوان مثال بیایید دوباره رمزگذاری شود).

به هر حال ، تنظیمات مشتری و سرور می توانند ترکیب شوند تا هر دو به طور همزمان اجرا شوند. به عنوان مثال ، مشتری می تواند زمان NTS را از سرورهای زمان خارجی خارج کند و آن را به عنوان سرور در شبکه محلی بدون NTS توزیع کند.

اشکال زدایی و اطلاعات پیشرفته

شروع Daemon:

اکنون می توانیم شروع کنیم خدمات NTPsec ما:

بعد از این سرویس باید اجرا شود که ما به راحتی می توانیم بررسی کنیم:

کل باید اینگونه باشد:

شروع دستی NTPsec:

البته ، شما همچنین می توانید NTPsec را به صورت دستی شروع کنید:

اگر شما هم می خواهید خروجی سیاهه را بصورت زنده ببینید ، باید چند پارامتر را مشخص کنید: [19659481] sudo / usr / local / sbin / ntpd – n – d

2019-11-20T05: 22: 15 ntpd [6847]: INIT: ntpd ntpsec-1.1.8 + 2019 -11-20T03: 55: 12Z (git rev 905721870): شروع

2019-11-20T05: 22: 15 ntpd [6847]: INIT: خط فرمان: / usr / local / sbin / ntpd -n -d [19659224] 2019-11-20T05: 22: 15 ntpd [6847]: INIT: precision = 2.031 usec (-19)

2019-11-20T05: 22: 15 ntpd [6847]: INIT: با موفقیت در RAM قفل شد [19659224] 2019-11-20T05: 22: 15 ntpd [6847]: CONFIG: readconfig: پرونده تجزیه: /etc/ntp.confociation19659224 غلط0101-11-11 -20T05: 22: 15 ntpd [6847]: LOG: تغییر ورود به سیستم به پرونده /home/pi/ntpsec/ntp.logociation19659224гово2019-11-20T05:22:15 ntpd [6847]: INIT: استفاده از SO_TIMESTAMPNS [1965922424] 2019-11-20T05: 22: 15 ntpd [6847]: IO: گوش دادن و رها کردن روی 0 v6wildcard [::]: 123

2019-11-20T05: 22: 15 ntpd [6847]: IO: گوش دهید و رها کنید در تاریخ 1 v4wildcard 0.0.0.0:123 میلیون19659224 معروف2019-11-20T05:22:15 ntpd [6847]: IO: به طور عادی به 2 lo گوش دهید 127.0.0.1:123 موفق19659224 بار2019-11-20T05:22:15 ntpd [6847]: IO: به طور معمول به 3 wlan0 گوش دهید 192.168.2.102:123 نام19659224 معروف2019-11-20T05:22:15 ntpd [6847]: IO: به طور عادی به 4 گوش گوش دهید [::1]: 123

2019- 11-20T05: 22: 15 ntpd [6847]: IO: به طور عادی به 5 wlan0 گوش دهید [fe80::63dc:3600:6bad:c768%3]: 123

2019-11-20T05: 22: 15 ntpd [6847]: IO: گوش دادن به سوکت روتینگ در fd # 22 برای به روزرسانی رابط

2019-11-20T05: 22: 15 ntpd [6847]: PROTO: 0.0.0.0 c011 81 mobil assoc 59451

2019-11-20T05: 22: 15 ntpd [6847]: INIT: این سیستم دارای یک time_t 32 بیتی است.

2019 -11-20T05: 22: 15 ntpd [6847]: INIT: این ntpd در 2038-01-19T03: 14: 07Z شکست خواهد خورد.

2019-11-20T05: 22: 15 ntpd [6847]: PROTO: 0.0 .0.0 c01d همگام سازی زمان هسته 0d هسته فعال شده

2019-11-20T05: 22: 15 ntpd [6847]: PROTO: 0.0.0.0 c012 02 freq_set هسته 0.000000 PPM

2019-11-20T05: 22: 15 ntpd [6847]: PROTO: 0.0.0.0 c011 01 freq_not_set

2019-11-20T05: 22: 15 ntpd [6847]: PROTO: 0.0.0.0 c016 06 مجدداً راه اندازی مجدد

2019-11-20T05: 22: 15 ntpd [6847]: INIT: OpenSSL 1.1.1d 10 Sep 2019، 1010104f

2019-11-20T05: 22: 15 ntpd [6847]: NTSc: با استفاده از گواهی های ریشه پیش فرض سیستم.

2019-11-20T05: 22 : 16 ntpd [6847]: DNS: dns_probe: nts3-e.ostfalia.de:443، cast_flags: 1، flags: 21901

2019-11-20T05: 22: 16 ntpd [6847]: NTSc: جستجوی DNS nts3-e.ostfalia.de:443 در زمان 0.009 ثانیه صورت گرفت

2019-11-20T05: 22: 16 ntpd [6847]: NTSc: nts_probe اتصال به nts3-e.ostfalia.de:443 => 141.41.241.70:123

2019-11-20T05: 22: 17 ntpd [6847]: NTSc: با استفاده از پرونده /home/pi/CLIENT/rootCaBundle.pem برای گواهی های ریشه.

2019-11-20T05: 22: 17 ntpd [6847]: NTSc: set cert host: nts3-e.ostfalia.de

2019 -11-20T05: 22: 17 ntpd [6847]: NTSc: با استفاده از TLSv1.3 ، TLS_AES_256_GCM_SHA384 (256)

2019-11-20T05: 22: 17 ntpd [6847]: NTSc: نام موضوع گواهینامه: / C = DE / ST = NDS / L = Wolfenbuettel / O = Ostfalia / CN = nts3-e.ostfalia.de

2019-11-20T05: 22: 17 ntpd [6847]: NTSc: نام صادر کننده گواهینامه: / C = DE / ST = NDS / L = Wolfenbuettel / O = Ostfalia / CN = OstfaliaRootCA

2019-11-20T05: 22: 17 ntpd [6847]: NTSc: گواهی معتبر است.

2019-11-20T05: 22: 17 ntpd [6847]: NTSc: ALPN خوب از: nts3-e.ostfalia.de:443 موفق19659224 قرارداد2019-11-20T05:22:17 ntpd [6847]: NTSc: بخوانید 848 بایت

2019-11- 20T05: 22: 17 ntpd [6847]: NTSc: Got 8 کوکی ، طول 100 ، aead = 15.

2019-11-20T05: 22: 17 ntpd [6847]: NTSc: NTS-KE req to nts3-e .ostfalia.de: 443 0.056 ثانیه صورت گرفت ، OK

2019-11-20T05: 22: 17 ntpd [6847]: DNS: dns_ch eck: پردازش nts3-e.ostfalia.de:443 ، 1 ، 21901

2019-11-20T05: 22: 17 ntpd [6847]: DNS: گرفتن سرور: 141.41.241.70

2019-11-20T05: 22:17 ntpd [6847]: DNS: dns_take_status: nts3-e.ostfalia.de:443=> Good، 0

2019-11-20T05: 22: 17 ntpd [6847]: PROTO: 141.41.241.70 e014 84 قابل دسترسی

2019-11-20T05: 22: 22 ntpd [6847]: PROTO: 141.41.241.70 f01a 8a sys_peer

2019-11-20T05: 22: 22 ntpd [6847]: PROTO: 0.0.0.0 c014 04 freq_mode

از تأیید از راه دور هنگام رسیدن نظرسنجی به تاخیر جبران خسارت

================================== ================================================== 19659224] * nts3-e.ostfalia 192.53.103.104 2 8 3 8 377 6.0908 0.9518 1.3586

وقتی از نظر سنجی به تأخیر می افتد ، jitter

============= ====================================================================================================================================================== ==================

* LOCAL (0) .LOCL. 10 l 31 64 77 0.0000 0.00000000

/ usr / local / bin / ntpq – [196590203] c nts nts nts ] اگر از سرور NTS و سرور NTS به طور همزمان استفاده کنیم ، این مقادیر را بدست می آوریم:

بسته های دستکاری شده یا نامعتبر شناسایی و دور انداخته می شوند. براساس این شماره ، شماره (سرور NTS خطای wv متغیر است).

نمونه Wireshark و پرونده های Pcap

در این مرحله ، من می خواهم چند مثال را نشان دهم ، که چگونه همه چیز در Wireshark به نظر می رسد. از آنجا که NTS هنوز در Wireshark پشتیبانی نمی شود ، هنوز تفسیرهای نادرست از داده های باینری وجود دارد. اما این به هیچ وجه ما را آزار نمی دهد.

مثال 1: NTS با الگوریتم TLS 1.2 و 512 بیتی AEAD:

در این شکل یک اتصال NTP با NTS را مشاهده می کنیم. این با NTS-KE بیش از TLS 1.2 شروع می شود. با توجه به الگوریتم قوی AEAD و کوکی های بزرگ حاصل ، بسته های NTP دارای اندازه 296 بایت (یا 338 بایت از جمله تمام هدرها) هستند. نشانه های زرد در Wireshark به دلیل سوء تفسیر مطالب است.

مثال 2: ممکن است رفتار NTS با از دست دادن بسته یا دستکاری:

در اینجا ما شاهد رفتار دستکاری شده هستیم. بسته های NTP. سرور به سادگی آنها را دور می کند. مشتری سپس یک بسته دیگر را ارسال می کند و یک کوکی اضافی می خواهد زیرا یکی از آنها وجود ندارد. بنابراین ، اندازه درخواست زیر با اندازه یک کوکی افزایش می یابد. این کار تا زمانی که مشتری هیچ کوکی نداشته باشد تکرار می شود و NTS-KE را تکرار می کند. این رفتار همچنین اتفاق می افتد اگر مشتری به دلیل از بین رفتن بسته پاسخی دریافت نکند.

Exampe 3: NTPsec با تنظیمات پیش فرض و NTS

مانند مثال 1 ، اما با TLS 1.3 و یک الگوریتم 256 بیتی AEAD. پیام های NTP از این رو کوچکتر هستند.

مثال 4: چندین اتصال نا امن NTP و NTS-Secured NTP

در این مثال ، ما اتصالات NTP نا امن و NTS از Ostfalia را مشاهده می کنیم. سرور زمان اتصالات NTS از تنظیمات مختلفی استفاده می کند (الگوریتم های AEAD) ، به طوری که اندازه بسته ها متفاوت باشد.

اتصالات فعلی سرور زمان Ostfalia ضبط می شوند و می توانند آزادانه بارگیری شوند. این امکان تشخیص بهتر و ردیابی مستقیم را هنگام آزمایش با NTS فراهم می کند. فایلهای pcap فعلی را می توانید اینجا و اینجا پیدا کنید. پرونده های pcap نمونه های Wireshark در اینجا ذکر شده است: .19659005 طرفداری19459103 طرفداری19659005 باسلام برای خواندن؛)

تصویر برجسته "چراغ شب" توسط استیگ نیگارد تحت مجوز CC BY 2.0 مجاز است.