保护 NTP:使用哪种方法?

保护 NTP:使用哪种方法?

有谁擅长 NTP 配置,请分享哪种方法最好/最容易实现安全、防篡改的 NTP 版本?这里有一些困难...

  1. 我没有自己的 0 层时间源,因此必须依赖外部时间服务器。

  2. 我是否应该了解 AutoKey 方法还是应该尝试采用 MD5 路线?

  3. 根据我对对称密码学的了解,MD5 方法似乎依赖于客户端和服务器之间预先约定的一组密钥(对称密码学),因此容易受到中间人攻击。

  4. 另一方面,AutoKey似乎不起作用在 NAT 或伪装主机后面。顺便问一下,这现在还适用吗?(此参考链接的日期是 2004 年,所以我不确定现在的水平如何。)

    4.1 是否有公共的 AutoKey 通话时间服务器?

  5. 我浏览了 David Mills 撰写的 NTP 书籍。这本书看起来很棒(毕竟是 NTP 创建者写的),但其中的信息也令人应接不暇。我只需要先配置一个安全版本的 NTP,然后再担心它的架构和工程基础。

有人能帮我渡过这些令人困惑的 NTP 困境吗?不一定需要您提供有效的配置,只需提供有关要尝试哪种 NTP 模式/配置的信息,并且可能还需要一个支持该模式/配置的公共时间服务器。

非常感谢,

/HS

答案1

最终答案是这里

非常感谢 David Mills 和 Danny Mayer 回答了这个问题。

总结一下:

对称密钥加密在 NAT 盒后面工作得很好。请参阅 ntp.org 上官方 NTP 文档中的身份验证支持页面。正如我所说,预期的 Autokey 模型是让服务器和客户端位于 NAT 盒的 Internet 端,并通过单独的接口向内部网络提供时间。

还,

以下是 Mills 博士描述 NTP 安全模型的 PowerPoint 幻灯片:

http://www.ece.udel.edu/~mills/database/brief/autokey/autokey.ppt

相关内容