Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Network Time Sicherheit (NTS)-Unterstützung für NTP

NTS bietet kryptografische Sicherheit für die Netzwerkzeitsynchronisierung und unterstützt den Client-Server-Modus von NTP.

NTS – Überblick

NTS bietet kryptografische Sicherheit für die Netzwerkzeitsynchronisierung und unterstützt den Client-Server-Modus von NTP. NTS verwendet das TLS-Protokoll (Transportschicht Sicherheit) und die authentifizierte Verschlüsselung mit zugehörigen Daten (AEAD), um den Benutzern Netzwerkzeit auf authentifizierte Weise zu übermitteln. NTS bietet auch Unterstützung für die Verschlüsselung von NTP-Erweiterungsfeldern.

Die wichtigsten Sicherheitsprozesse sind auf die genaue Zeit angewiesen. Die Netzwerkzeitsynchronisierung von einer bösartigen Quelle hat schwerwiegende Folgen. Durch die Aktivierung von NTS wird eine genaue Netzwerkzeitsynchronisierung auf Ihrem Gerät sichergestellt.

Ab Junos OS Evolved Version 24.2R1 wird die RFC 8915-Konformität für Netzwerkzeit-Sicherheit (NTS) mithilfe des Network Time Protocol (NTP) auf Geräten der ACX-, QFX- und PTX-Serien unterstützt. NTS bietet kryptografische Sicherheit für die Netzwerkzeitsynchronisierung und unterstützt den Client/Server-Modus von NTP.

Diese RFC 8915-Compliance-Funktion unterstützt:

- Konfiguration des lokalen Zertifikats für Server und Zertifikatsüberprüfungsoptionen für den Client.

- Überprüfung von x.509-Zertifikaten zur Einrichtung eines TLS-Kanals zwischen Client und Server.

- TLS NTS-KE-Protokollunterstützung

- Unterstützung für NTS-gesicherte Client-Server-NTP-Kommunikation auf Server und Client.

Vorteile von NTS

  • Bietet starken kryptografischen Schutz gegen eine Vielzahl von Sicherheitsangriffen wie Paketmanipulation, Spoofing, DDOS-Verstärkungsangriffe und Replay-Angriffe
  • Gewährleistet eine genaue Netzwerkzeitsynchronisation von einer zuverlässigen Quelle
  • Bietet Skalierbarkeit: Server können mehrere Clients bedienen, ohne dass eine clientspezifische Konfiguration manuell vorkonfiguriert werden muss. Durch die Verwendung von Cookies muss der Server die clientspezifischen Daten wie Schlüssel und AEAD-Algorithmus nicht lokal speichern
  • Verhindert das Tracking mobiler Geräte

Netzwerkzeitsynchronisation mit NTS

NTS besteht aus zwei Protokollen, dem NTS Key Establishment Protocol (NTS-KE) und der NTP-Zeitsynchronisierung mithilfe von NTS-Erweiterungsfeldern.

NTS-KE-Protokoll

Das NTS Key Establishment Protocol (NTS-KE) verwendet das TLS-Protokoll, um die anfängliche Authentifizierung des Servers, die NTS-Parameteraushandlung und die Schlüsseleinrichtung über TLS in der folgenden Reihenfolge zu verwalten:

  1. Der Client führt einen TLS-Handshake mit dem NTS-KE-Server durch und überprüft die Zertifikate erfolgreich.

  2. Der Client führt die NTS-Parameteraushandlung mit dem Server über den TLS-geschützten Kanal durch. Bei den ausgehandelten kryptografischen Algorithmen handelt es sich um AEAD-Methoden, die die NTP-Pakete in der zweiten Phase schützen.

  3. Der Client und der Server etablieren erfolgreich das Schlüsselmaterial für die Kommunikation.

  4. Der Server sendet auch eine Reihe von anfänglichen Cookies an den Client, um sie in der nächsten Phase zu verwenden.

  5. Der TLS-Kanal wird geschlossen, und NTP fährt mit der nächsten Phase fort, in der der tatsächliche Austausch von Zeitdaten stattfindet.

NTS unterstützt nur die TLS-Version 1.3. Die älteren TLS-Versionen werden während der NTS-KE-Protokollphase abgelehnt.

NTP-Zeitsynchronisierung mithilfe von NTS-Erweiterungsfeldern

In dieser Phase werden die Verschlüsselung und Authentifizierung während der NTP-Zeitsynchronisierung über die Erweiterungsfelder in den NTP-Paketen in der folgenden Reihenfolge verwaltet:

  1. Der Client fragt den NTP-Server mit NTS-Erweiterungsfeldern über die Zeit ab. Zu diesen Erweiterungsfeldern gehören Cookies und ein Authentifizierungs-Tag, das mit dem ausgehandelten AEAD-Algorithmus berechnet wird, sowie Schlüsselmaterial, das aus dem NTS-KE-Handshake extrahiert wird.

    Eine NTS-gesicherte NTP-Clientanforderung enthält die folgenden NTS-Erweiterungsfelder:

    • Unique Identifier Extension Field: Enthält zufällig generierte Daten und stellt die Mittel für den Wiederholungsschutz auf NTS-Ebene bereit.

    • NTS-Cookie-Erweiterungsfeld: Enthält die Informationen über das Schlüsselmaterial, das während der NTS-KE-Phase erstellt wird, und den ausgehandelten kryptografischen Algorithmus. Ein Cookie wird nur einmal in einer Anfrage verwendet, um das Tracking zu verhindern.

    • NTS-Cookie-Platzhalter-Erweiterungsfeld: (Optional) Teilt dem Server mit, dass der Client zusätzliche Cookies im Antwortpaket erhalten möchte.

    • NTS-Authentifikator und verschlüsselte Erweiterungsfelder: Generiert mit AEAD-Algorithmus und Schlüssel, der während NTS-KE festgelegt wurde. Dieses Feld bietet den Integritätsschutz für den NTP-Header und alle vorherigen Erweiterungsfelder.

    Die ständige Aktualisierung von Cookies schützt ein Gerät vor Verfolgung, wenn es Netzwerkadressen ändert. Zum Beispiel ein mobiles Gerät, das sich über verschiedene Netzwerke bewegt. Das Fehlen erkennbarer Daten verhindert, dass ein Angreifer feststellen kann, dass zwei Pakete, die über unterschiedliche Netzwerkadressen gesendet wurden, vom selben Client stammen.

  2. Wenn der Server eine NTS-gesicherte Anforderung vom Client empfängt, entschlüsselt der Server das Cookie mit einem Hauptschlüssel.

  3. Der Server extrahiert den ausgehandelten AEAD-Algorithmus und die im Cookie verfügbaren Schlüssel. Mit diesem Schlüssel überprüft der Server die Integrität des NTP-Pakets, um sicherzustellen, dass keine Manipulationen am Paket vorgenommen werden.

  4. Der Server generiert ein oder mehrere neue Cookies und erstellt das NTP-Antwortpaket. Der Server generiert mindestens ein neues Cookie und ein zusätzliches Cookie für jedes Cookie-Platzhalter-Erweiterungsfeld, das der Client im Anforderungspaket hinzugefügt hat.

    Das Antwortpaket enthält zwei NTS-Erweiterungsfelder:

    • Das Feld "Erweiterung für eindeutige Kennung", das den gleichen Inhalt wie das Feld "Eindeutige Kennung" im Anforderungspaket hat.
    • Der NTS Authenticator und das verschlüsselte Erweiterungsfeld, das den NTP-Header und die vorherigen Erweiterungsfelder mit den extrahierten Schlüsseln sichert.

  5. Der Server verschlüsselt auch die Cookies und fügt sie in die Felder NTS Authenticator und Encrypted Extension ein. Dieses Verfahren schützt den Client auch vor Nachverfolgung, da ein Angreifer die Cookies nicht aus einer Antwortnachricht extrahieren kann.

  6. Der Server finalisiert das Antwortpaket und sendet das Paket an den Client.

  7. Der Client empfängt das Antwortpaket.

  8. Der Client überprüft das Feld "Eindeutige Kennung" und stellt sicher, dass die eindeutige Kennung mit einer ausstehenden Anforderung übereinstimmt.

  9. Der Client führt die Integritätsprüfung des Pakets mithilfe des Schlüssels und des AEAD-Algorithmus erfolgreich durch.

  10. Der Client entschlüsselt die Cookies und fügt sie seinem Pool hinzu und verarbeitet die vom Server empfangenen Zeitinformationen.