Security
保護 NTP:使用哪種方法?
擅長 NTP 配置的人可以分享哪種方法是最好/最容易實現安全、防篡改版本的 NTP 嗎?這裡有一些困難…
- 我沒有自己的 0 層時間源的奢侈,所以必須依賴外部時間伺服器。
- 我應該閱讀 AutoKey 方法還是應該嘗試走 MD5 路線?
- 根據我對對稱密碼學的了解,MD5 方法似乎依賴於客戶端和伺服器之間預先商定的一組密鑰(對稱密碼學),因此容易受到中間人攻擊.
- 另一方面,AutoKey似乎無法在 NAT 或偽裝主機之後工作。順便說一句,這仍然是真的嗎?(這個參考連結的日期是 2004 年,所以我不確定今天的最新技術是什麼。)
4.1 是否有公開的 AutoKey-talking 時間伺服器可用? 5. 我瀏覽了 David Mills 的 NTP 書。這本書在某種程度上看起來很棒(畢竟來自 NTP 創建者),但其中的資訊也是壓倒性的。我只需要首先配置一個安全版本的 NTP,然後可能會擔心它的架構和工程基礎。
有人可以幫我渡過這些淹死的 NTP 水域嗎?不一定需要您提供的工作配置,只需要有關要嘗試的 NTP 模式/配置的資訊,並且可能也是支持該模式/配置的公共時間伺服器。
非常感謝,
/HS
最後的答案就在這裡。
感謝 David Mills 和 Danny Mayer 回答了這個問題。
總結一下:
對稱密鑰加密在 NAT 盒子後面工作得很好。請參閱 ntp.org 上官方 NTP 文件中的身份驗證支持頁面。正如我所說,預期的 Autokey 模型是讓伺服器和客戶端位於 NAT 框的 Internet 端,並通過單獨的介面為內部網路提供時間。
還,
這是 Mills 博士描述 NTP 安全模型的 PowerPoint 幻燈片:
http://www.ece.udel.edu/~mills/database/brief/autokey/autokey.ppt