有谁擅长 NTP 配置,请分享哪种方法最好/最容易实现安全、防篡改的 NTP 版本?这里有一些困难...
我没有自己的 0 层时间源,因此必须依赖外部时间服务器。
我是否应该了解 AutoKey 方法还是应该尝试采用 MD5 路线?
根据我对对称密码学的了解,MD5 方法似乎依赖于客户端和服务器之间预先约定的一组密钥(对称密码学),因此容易受到中间人攻击。
另一方面,AutoKey似乎不起作用在 NAT 或伪装主机后面。顺便问一下,这现在还适用吗?(此参考链接的日期是 2004 年,所以我不确定现在的水平如何。)
4.1 是否有公共的 AutoKey 通话时间服务器?
我浏览了 David Mills 撰写的 NTP 书籍。这本书看起来很棒(毕竟是 NTP 创建者写的),但其中的信息也令人应接不暇。我只需要先配置一个安全版本的 NTP,然后再担心它的架构和工程基础。
有人能帮我渡过这些令人困惑的 NTP 困境吗?不一定需要您提供有效的配置,只需提供有关要尝试哪种 NTP 模式/配置的信息,并且可能还需要一个支持该模式/配置的公共时间服务器。
非常感谢,
/HS
答案1
最终答案是这里。
非常感谢 David Mills 和 Danny Mayer 回答了这个问题。
总结一下:
对称密钥加密在 NAT 盒后面工作得很好。请参阅 ntp.org 上官方 NTP 文档中的身份验证支持页面。正如我所说,预期的 Autokey 模型是让服务器和客户端位于 NAT 盒的 Internet 端,并通过单独的接口向内部网络提供时间。
还,
以下是 Mills 博士描述 NTP 安全模型的 PowerPoint 幻灯片:
http://www.ece.udel.edu/~mills/database/brief/autokey/autokey.ppt