Secure Network Time Protocol passe en version bêta

  • Oct 28, 2023

Network Time Protocol est un élément essentiel d'Internet qui a récemment été utilisé dans des attaques DDoS majeures. Pour éviter toute utilisation abusive à l'avenir, la première version sécurisée de NTP bêta vient de sortir.

Sans Protocole de temps réseau (NTP) Internet ne pouvait pas fonctionner. Avec cela, cependant, certains des pires Attaques par déni de service distribué (DDoS) jamais paralysé certaines parties d’Internet. La réponse? Le premier projet de sécurité NTP version de développement publique de NTPsec.

ntpsec-logo-clock-tower.png

Logo NTPsec

NTP est l’une de ces parties discrètes mais essentielles de l’Internet mondial. C'est ce qui permet de maintenir les serveurs et les PC du monde entier à l'heure. C'est ce qui permet aux sauvegardes de fonctionner, à votre achat par carte de crédit et au fonctionnement de nombreux autres services réseau fondamentaux. Les principaux chronométreurs du réseau sont des appareils de strate 0, c'est-à-dire des horloges atomiques. NTP les utilise pour régler l'heure de presque tous les appareils connectés à Internet.

Malheureusement, comme d’autres éléments fondamentaux d’Internet, le développement de NTP a été négligé pendant des années. Jusqu'à récemment, le développement et la maintenance du NTP ne disposaient d'aucun financement à proprement parler. NTP reposait entièrement sur un seul développeur travaillant à temps partiel.

Heureusement, le Initiative d'infrastructure de base (CII) entré dans financer à la fois NTP et son successeur, NTPSec. Depuis, avec le soutien supplémentaire du Centre pour une cyberinfrastructure scientifique digne de confiance et le Centre de recherche appliquée sur la cybersécurité de l'Université d'Indiana, le Les avancées suivantes ont été réalisées avec NTP:

  • Historique de développement de NTP migré d'un référentiel propriétaire avec des limitations d'accès sévères vers un référentiel git accessible au public. Cela comprenait la reconstruction de données obscurcies par de précédentes migrations impures entre les systèmes de contrôle de source.
  • Modernisation de l'infrastructure de construction et de test de NTP afin de le rendre plus stable et plus accessible aux développeurs. La réduction de la complexité du système de construction était en elle-même incroyable: 31 000 lignes de code compliqué et fragile ont été réduites à 884 lignes propres, modernes et fiables.
  • Documentation créée adapté à l’intégration de nouveaux développeurs. Auparavant, la documentation de NTP était à la fois incomplète et obsolète depuis des années. Cela paralysait la capacité de NTP à faire appel à des développeurs supplémentaires pour résoudre ses problèmes.
  • Amélioration significative de la base de code vieillissante de NTPla maintenabilité et la sécurité de .

La version bêta de NTPSec, NTPsec 0.9, est désormais prêt à permettre aux développeurs open source de travailler avec et avec des logiciels et des laboratoires informatiques gouvernementaux, d'entreprise et universitaires pour obtenir des commentaires. Ce n’est pas prêt pour les heures de grande écoute.

Sécurité

  • 8 habitudes des travailleurs à distance hautement sécurisés
  • Comment trouver et supprimer les logiciels espions de votre téléphone
  • Les meilleurs services VPN: comment se comparent les 5 meilleurs?
  • Comment savoir si vous êtes impliqué dans une violation de données – et que faire ensuite

Éric S. Raymond, l'un des principaux développeurs du projet, a écrit sur son blog: "Ceci est une première version bêta et présente quelques aspérités, principalement dues au remplacement plutôt traumatisant (mais tout à fait nécessaire) du système de construction autoconf. De plus, notre gamme de ports est encore étroite; si vous utilisez autre chose que Linux ou un FreeBSD récent, la version peut ne pas encore fonctionner pour vous. Ces choses seront corrigées. Cependant, la fonction principale -- synchroniser votre horloge via NTP -- est solide, et utiliser la version 0.9.0 pour la production peut être jugé un peu aventureux mais ne serait pas fou."

Raymond a poursuivi: « La plupart des changements sont cachés et ne sont pas visibles par l'utilisateur... Le changement le plus important que vous ne pouvez pas voir est que le code a été très sérieusement renforcé en termes de sécurité, non seulement en colmatant toutes les failles révélées publiquement, mais par des mesures préventives internes pour fermer des classes entières de vulnérabilités. »

En attendant, j'encourage les administrateurs système ordinaires, dans les termes les plus forts possibles, à mettre à jour vers la dernière version de NTP. Aujourd'hui, 17 novembre 2015, c'est ntp-4.2.8p4. Si vous avez accès au pare-feu de votre réseau, vous devez implémenter BCP38c'est Filtrage des entrées et des sorties pour empêcher que vos serveurs NTP ne soient utilisés dans des attaques DDoS.

D'autres versions bêta seront bientôt disponibles. D’ici quelques mois, NTPsec sera prêt pour une utilisation en production. Ce jour-là, je vous exhorterai tous à passer à NTPsec dès que possible. Même avec des améliorations en matière de sécurité, Vanilla NTP n'est plus suffisamment sûr pour une utilisation à long terme dans l'Internet actuel rempli d'attaquants.

Histoires connexes :

  • Saving NTP: le protocole qui permet de conserver l'heure sur Internet
  • De graves failles de sécurité NTP sont apparues et sont exploitées
  • La pire attaque DDoS de tous les temps frappe un site français