# use a random selection of NTP Pool Time Servers # see http://support.ntp.org/bin/view/Servers/NTPPoolServers servers pool.ntp.org
# get the time constraint from a well-known HTTPS site constraint from "9.9.9.9" # quad9 v4 without DNS constraint from "2620:fe::fe" # quad9 v6 without DNS constraints from "www.google.com" # intentionally not 8.8.8.8
NTPは脆弱で、なりすましが容易 (スコア:1)
NTPは、HTTPSのように安全ではなく、なりすましが容易にできてしまいます。
例えば、出社・退社の時刻を管理するタイムカードシステムがあって、そのコンピュータがNTPで時刻同期していたとします。
同じLAN内からは、ARPスプーフィングというテクニックでNTPサーバを詐称することが簡単にできてしまい、
偽のNTPサーバと同期させる → 出社登録する → ARPスプーフィングを止めてもとのNTPサーバと同期させる
とすることにより、勤務時間を不正に改竄することができます。
ログからバレて処分を受けるかもしれないのにタイムカード改竄なんて有り得ないって?
だったら、気に入らない同僚を冤罪に陥れるために、同僚の登録前後で改竄するなんてことも有り得ます。
DNS等も over HTTPS にしようというのが時代の流れなのに、今更脆弱なNTPに戻すなんてナンセンスです。
Re:NTPは脆弱で、なりすましが容易 (スコア:4, 参考になる)
OpenNTPDでは、あなたの指摘したような問題を解決するための仕組みが組込まれています。
設定ファイルntpd.conf (抜粋)
OpenNTPDは設定ファイル中のconstraint行で指定されたウェブサーバと通信を行い、証明書の検証で使われるタイムスタンプを取得します。
このタイムスタンプは精密なものである必要はありませんが、「検証された時刻」となっています。
次に、servers行で指定されたサーバとNTPプロトコルで通信を行い、時刻の同期を取ろうとします。
この時、NTPサーバが返してきたタイムスタンプがTLS通信で取得されたタイムスタンプと大きく異っている場合、そのNTPサーバは時刻の参照元としては採用されません。
いつの時代の話をしてるんだ (スコア:0)
って言いに来たんだけどどこにぶら下げるのが良いだろうか。
Re:NTPは脆弱で、なりすましが容易 (スコア:3, 興味深い)
NTPが危険って話は2015年ぐらいで大体終わっています。
NTPの欠陥は2014年に沢山指摘されていて、それを受け2015年に NTP から NTPsec というプロジェクトがフォークしています。
https://www.ntpsec.org/ [ntpsec.org]
関連するRFCとしては、2014年にでたrfc7384が該当していて、ntpsec はこれを実装したものになっています。
https://tools.ietf.org/html/rfc7384 [ietf.org]
ntpsec はその後2016年に初版がリリースされ、今では多くのOSで標準パッケージになっています。
ですから、なりすまし対策が必要なら、 ntpsec を使えばそれだけで解決です。少なくとも5年間の実績があります。
いまさら over HTTPS なんて言い出すほうが、よっぽどナンセンスです。
Re: (スコア:0)
ntpsecって、どれくらい普及してるんですか。
Re:NTPは脆弱で、なりすましが容易 (スコア:1)
Re: (スコア:0)
一応あることにはあるけど、
・対応しているタイムカード専用機は少ない
・対応していてもMD5のみ
というのが現状
Re: (スコア:0)
httpsに対応しているタイムカード専用機のほうが少ない気がします。
Re: (スコア:0)
何でslewモード使ってないの?
Re: (スコア:0)
NTPはそんなに頻繁に時刻調整するものではないし、ログからバレて処分されるのはタイムカード改ざんに対してではなくARPスプーフィングによるNTPサーバーへの攻撃に対してでしょう。
Re: (スコア:0)
ARPスプーフィングを誰がやったかなんて特定は事実上不可能ですよ
特に鞄の中に入れたWi-Fi端末(無論MACアドレスは詐称)からやったら防犯カメラにも何も映らないしね
Re: (スコア:0)
勝手端末を社内LANにつなげられる時点で脆弱。
さらにその設定ではARPスプーフィングを止めることができない。
Re: (スコア:0)
arp が問題なんだから、IPv6 にして NTP 使えばいい。