Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de NTP

El protocolo de tiempo de red (NTP) es un protocolo ampliamente utilizado para sincronizar los relojes de enrutadores y otros dispositivos de hardware en Internet. Los servidores NTP principales se sincronizan con un reloj de referencia que se puede rastrear directamente a la hora universal coordinada (UTC). Los relojes de referencia incluyen receptores GPS y servicios de módem telefónico, las expectativas de precisión ntp dependen de los requisitos de aplicación del entorno, sin embargo, NTP generalmente puede mantener el tiempo en decenas de milisegundos a través de internet público.

NTP se define en el RFC 5905: Protocolo de tiempo de red versión 4: Especificación de protocolo y algoritmos

Los dispositivos que ejecutan Junos OS se pueden configurar para actuar como un cliente NTP, un servidor NTP secundario o un servidor NTP principal. Estas variaciones son las siguientes:

  • Servidor NTP principal: los servidores NTP principales se sincronizan con un reloj de referencia que se puede rastrear directamente a LA UTC. A continuación, estos servidores reparten esta vez los datos descendentes a otros servidores NTP secundarios o clientes NTP.

  • Servidor NTP secundario: los servidores NTP secundarios se sincronizan con un servidor NTP principal o secundario. A continuación, estos servidores reparten estos datos descendentemente a otros servidores NTP secundarios o clientes NTP.

  • Cliente NTP: los clientes NTP se sincronizan con un servidor NTP principal o secundario. Los clientes no reparten esta vez datos a otros dispositivos.

Nota:

La subred NTP incluye varios servidores de tiempo principal públicos de acceso amplio que se pueden usar como servidor NTP principal de una red. Juniper Networks recomienda encarecidamente que autentifique cualquier servidor principal que utilice.

Cada dispositivo de la red se puede configurar para que se ejecute en uno o varios de los siguientes modos NTP:

  • Modo de difusión: se configura uno o más dispositivos para transmitir información de tiempo a una dirección de difusión o multidifusión especificada. Otros dispositivos escuchan paquetes de sincronización de tiempo en estas direcciones. Este modo es menos preciso que el modo cliente/servidor.

  • Modo cliente/servidor: los dispositivos se organizan jerárquicamente en toda la red en las relaciones cliente/servidor.

  • Modo simétrico activo (par): dos o más dispositivos se configuran como pares de servidor NTP para proporcionar redundancia.

De forma predeterminada, si un tiempo de cliente NTP se deriva de modo que la diferencia de tiempo del servidor NTP supere los 128 milisegundos, el cliente NTP vuelve automáticamente a la sincronización. El cliente NTP seguirá sincronice con el servidor, incluso si el desplazamiento entre el cliente NTP y el servidor supera el umbral de 1000 segundos. Puede solicitar manualmente que un dispositivo se sincronice con un servidor NTP mediante el set date ntp comando operativo del enrutador. En los dispositivos que ejecutan Junos OS que tienen motores de enrutamiento duales, el motor de enrutamiento de respaldo se sincroniza directamente con el motor de enrutamiento principal.

Para obtener más información acerca del protocolo de tiempo de red, vaya al sitio web de Network Time Foundation en http://www.ntp.org.

Nota:

Todas las plataformas de Juniper que ejecutan Junos OS admiten el ajuste de segundo salto. De forma predeterminada, si el servidor NTP conoce los cálculos del segundo salto, el dispositivo Junos agregará automáticamente el retraso de 1 segundo. El PTP (Protocolo de tiempo de precisión) se utiliza para detectar y propagar cambios de sincronización de segundo salto en todos los nodos de una red.
Nota:

NTP es necesario para el cumplimiento de criterios comunes. Para obtener más información sobre la certificación de criterios comunes, consulte Certificaciones del sector público.

En el sistema operativo Junos (Junos OS) versión 11.2 o posterior, NTP admite solicitudes de enrutamiento y reenvío VPN IPv4 (VRF). Esto permite que un servidor NTP que se ejecuta en un enrutador de borde de proveedor (PE) responda a las solicitudes NTP de un enrutador de borde del cliente (CE). Como resultado, un enrutador de PE puede procesar cualquier paquete de solicitud NTP procedente de diferentes instancias de enrutamiento. En la versión 11.4 y posteriores de Junos OS, NTP también admite solicitudes VRF IPv6. A partir de Junos OS versión 18.2R1, no debe haber espacio en la contraseña para configurar la clave de autenticación del protocolo de tiempo de red (NTP).

Soporte de seguridad de tiempo de red (NTS) para NTP

Descripción general de NTS

NTS proporciona seguridad criptográfica para la sincronización de tiempo de red y admite el modo cliente-servidor de NTP. NTS utiliza el protocolo de seguridad de capa de transporte (TLS) y el cifrado autenticado con datos asociados (AEAD) para obtener tiempo de red de manera autenticada a los usuarios. NTS también proporciona soporte para el cifrado de campos de extensión NTP.

Los procesos de seguridad más importantes dependen del tiempo preciso. La sincronización del tiempo de red desde una fuente maliciosa lleva a graves consecuencias. Habilitar NTS garantiza una sincronización precisa del tiempo de red en su dispositivo.

Beneficios de NTS

  • Ofrece una sólida protección criptográfica contra una amplia gama de ataques de seguridad, como la manipulación de paquetes, suplantación, ataques de amplificación DDOS y ataques de reproducción.
  • Garantiza una sincronización precisa del tiempo de red desde una fuente confiable.
  • Ofrece escalabilidad: los servidores pueden servir a varios clientes sin configurar manualmente ninguna configuración específica del cliente. Debido al uso de cookies, el servidor no necesita almacenar localmente los datos específicos del cliente, como claves y algoritmo AEAD.
  • Evita el seguimiento de dispositivos móviles.

Sincronización de tiempo de red con NTS

NTS consta de dos protocolos, el protocolo de establecimiento de claves NTS (NTS-KE) y la sincronización de tiempo NTP mediante campos de extensión NTS. La Figura 1 muestra las interacciones en NTS.

Figura 1: Interacciones en NTS Interactions in NTS

Protocolo NTS-KE

En la fase del protocolo NTS-KE, el protocolo NTS-KE administra la autenticación inicial, la negociación de parámetros NTS y el establecimiento de claves a través de TLS en el siguiente orden:

  1. El cliente realiza un protocolo de enlace TLS con el servidor NTS-KE y verifica correctamente los certificados.

  2. El cliente realiza la negociación de parámetros NTS con el servidor a través del canal protegido por TLS. Los algoritmos criptográficos negociados son métodos AEAD, que protegen los paquetes NTP en la segunda fase.

  3. El cliente y el servidor establecen correctamente el material clave para la comunicación.

  4. El servidor también envía un suministro de cookies iniciales al cliente para que las utilice en la próxima fase.

  5. El canal TLS se cierra y el NTP pasa a la siguiente fase en la que ocurre el intercambio real de datos de tiempo.

NTS solo admite la versión 1.3 de TLS. Las versiones anteriores de TLS se rechazan durante la fase del protocolo NTS-KE.

Sincronización de tiempo NTP mediante campos de extensión NTS

Esta fase administra el cifrado y la autenticación durante la sincronización de tiempo NTP a través de los campos de extensión en los paquetes NTP en el siguiente orden:

  1. El cliente consulta al servidor NTP acerca del tiempo con campos de extensión NTS. Estos campos de extensión incluyen cookies y una etiqueta de autenticación calculada mediante el algoritmo de AEAD negociado y el material clave extraido del enlace NTS-KE.

    Una solicitud de cliente NTP protegida por NTS contiene los siguientes campos de extensión NTS:

    • Campo de extensión de identificador único: contiene datos generados aleatoriamente y proporciona los medios para la protección de reproducción a nivel de NTS.

    • Campo de extensión de cookies NTS: contiene la información sobre el material clave, que establece durante la fase NTS-KE, y el algoritmo criptográfico negociado. Una cookie solo se utiliza una vez en una solicitud para evitar el seguimiento.

    • Campo de extensión de marcador de posición de cookies NTS: (Opcional) comunica al servidor que el cliente desea recibir cookies adicionales en el paquete de respuesta.

    • Campos de autenticación y extensión cifrada de NTS: se genera mediante el uso del algoritmo AEAD y la clave establecida durante NTS-KE. Este campo proporciona la protección de integridad para el encabezado NTP y todos los campos de extensión anteriores.

    La actualización constante de cookies protege a un dispositivo del seguimiento cuando cambia las direcciones de red. Por ejemplo, un dispositivo móvil que se mueve a través de diferentes redes. La falta de datos reconocibles impide que un adversario determine que dos paquetes enviados a través de direcciones de red diferentes procedían del mismo cliente.

  2. Cuando el servidor recibe una solicitud protegida por NTS del cliente, el servidor descifra la cookie con una clave maestra.

  3. El servidor extrae el algoritmo de AEAD negociado y las claves que están disponibles en la cookie. Con esta clave, el servidor comprueba la integridad del paquete NTP para garantizar que no haya manipulaciones en el paquete.

  4. El servidor genera una o más cookies nuevas y crea el paquete de respuesta NTP. El servidor genera al menos una cookie nueva y una cookie adicional para cada campo de extensión de marcador de posición de cookies que el cliente agregó en el paquete de solicitud.

    El paquete de respuesta contiene dos campos de extensión NTS:

    • El campo Extensión de identificador único, que tiene el mismo contenido del campo Identificador único en el paquete de solicitud.
    • El autenticador NTS y el campo de extensión cifrada, que protege el encabezado NTP y los campos de extensión anteriores mediante las claves extraídas.

  5. El servidor también cifra las cookies e incluyelas en los campos Autenticador de NTS y Extensión cifrada. Este procedimiento también protege al cliente del seguimiento, ya que un atacante no puede extraer las cookies de un mensaje de respuesta.

  6. El servidor finaliza el paquete de respuesta y envía el paquete al cliente.

  7. El cliente recibe el paquete de respuesta.

  8. El cliente comprueba el campo Identificador único y verifica que el identificador único coincida con una solicitud pendiente.

  9. El cliente realiza correctamente la comprobación de integridad del paquete mediante la clave y el algoritmo AEAD.

  10. El cliente descifra las cookies y las agrega a su conjunto y procesa la información de tiempo recibida del servidor.

Documentación relacionada

Tabla de historial de versiones
Lanzamiento
Descripción
18.2R1
A partir de Junos OS versión 18.2R1, no debe haber espacio en la contraseña para configurar la clave de autenticación del protocolo de tiempo de red (NTP).