NTP Pool سازمانی داوطلب است که خدمات همگام سازی زمان را برای صدها میلیون کامپیوتر در سراسر جهان فراهم می کند. یک سرویس گیرنده معمولی ممکن است 10-60 بار در ساعت از سرور NTP Pool خاص درخواست کند. ویکی پدیا برخی از مشتری های متخلف را ذکر کرده است که بسیار بیشتر از حد معمول بوده اند. این منابع سرور NTP را هدر می دهد ، ممکن است با سایر سرویس گیرندگان تداخل داشته باشد و می تواند باعث ایجاد حفاظت از DDoS شود. در اواخر سال 2019 ، یک به روزرسانی نرم افزاری باعث شد که برخی از فایروال های FortiGate نسبت به NTP Pool بسیار دوستانه نباشند.
Fortinet یک شرکت چند ملیتی است که دستگاه های امنیتی رایانه ، از جمله فایروال FortiGate را تولید می کند. اسناد محصول فایروال نحوه استفاده از استخر NTP برای همگام سازی زمان را توصیف می کند ، به عنوان مثال با استفاده از:
|
0.europe.pool.ntp.org 1.europe.pool.ntp.org 2.europe .pool.ntp.org |
DNS 0.europe.pool.ntp.org را به یکی از صدها سرور NTP در NTP Pool حل خواهد کرد. بگذارید بگوییم هنگام راه اندازی فایروال 1.2.3.4 ، سرور NTP توسط DNS انتخاب شده بود. چه اتفاقی می افتد اگر مدتی بعد مدیر 1.2.3.4 تصمیم به توقف شرکت در NTP Pool گرفته و خدمات عمومی NTP را خاموش کند؟ به ما گفته شد که نرم افزار قدیمی FortiGate NTP آن شرایط را به خوبی برطرف نمی کند. یک به روزرسانی نرم افزاری ، FortiOS 6.2.3 ، در دسامبر 2019 صادر شد که به طور دوره ای دوباره جستجوی DNS را منتشر می کرد. در مثال ما ، اگر 0.europe.pool.ntp.org دیگر در 1.2.3.4 حل نشد ، برخی از تنظیمات اولیه توسط نرم افزار جدید انجام شد. آن کد جدید یک نقص جدی داشت. درخواستهای NTP با نرخهایی که بعضی اوقات از 20،000 در ثانیه هم فراتر می رفت برای حداکثر 10 ثانیه ارسال می شد. با تغییر وضوح DNS ، که برای استخرهای NTP معمول است ، یک فایروال FortiGate انفجارهایی را به سرورهای مختلف استخر NTP ارسال می کند.
انفجار یک فایروال FortiGate در زیر نشان داده شده است در سال 2020 ، اپراتورهای استخر NTP متوجه این انفجارهای متمایز شدند. آنها بعضی اوقات بیش از 20٪ از کل ترافیک NTP را در یک سرور نشان می دهند! کارهای تشخیصی توسط چندین داوطلب استخر NTP ، فایروال های FortiGate را به عنوان منبع این انفجارها مشخص کردند. در آوریل 2020 ، ما با پشتیبانی Fortinet تماس گرفتیم که این اشکال را تأیید کرد و گفت که نسخه بعدی نرم افزار حاوی رفع اشکال به زودی استفاده می شود. با این حال ، نرم افزار جدید اشکالات نامرتبطی داشت که از استقرار گسترده آن جلوگیری می کرد. در 22 آگوست 2020 ، FortiOS 6.2.5 برای از بین بردن انفجارها منتشر شد.
رفع مشکل برای مدیران FortiGate ساده است:
- از نسخه 6.2.3 یا
- FortiOS استفاده نکنید در صورت استفاده از نسخه 6.2.3 ، از استخر NTP استفاده نکنید.
FortiGate تعداد اندکی از مشتریان را از این مسئله آگاه کرد. با این حال ، از زمان نگارش این مقاله (نوامبر 2020) ، NTP Pool هنوز در حال دریافت انفجارهای مکرر NTP از صدها (حداقل) فایروال های FortiGate است. در حالی که Fortinet در بحث های ایمیل و تلفنی پاسخگو بود ، در کل ، اقدامات اصلاحی آنها ناامید کننده بود. امیدوارم ، مدیران FortiGate این یادداشت را بخوانند و به طور مناسب اقدامات اصلاحی را انجام دهند.
کار تشخیصی توسط میروسلاو لیچوار ، هال موری و استیون سامارس با مشارکت چندین داوطلب استخر NTP انجام شد.
عکس هدر زابریسکی در Unsplash.
