NTP Autokey IFF 未按预期工作

NTP Autokey IFF 未按预期工作

A)目标架构

我们有一个项目,其中目标NTP时间同步架构如下:

  • 客户提供的第 1 层服务器。
  • 第 2 层服务器:我们提供的 Spectracom SecureSync 设备。
  • 第 3 层:最终用户机器。

所有 NTP 同步都必须使用 Autokey IFF 进行验证。

B) 测试实验室配置

在我们的实验室中,我们使用以下 3 台机器模拟目标架构:

  • 第 1 层服务器“vm-centos7-srv”:带有 ntpd 2.4.6 的 CentOS 7 VM,使用本地时钟作为参考。
  • 第 2 层服务器“ntpsrv”:Spectracom SecureSync 1200 设备。
  • Stratum 3 客户端“vm-centos7-cli”:带有 ntpd 2.4.6 的 CentOS 7 VM。

在 Autokey 术语中,机器具有以下作用:

  • vm-centos7-srv:服务器和受信任主机(TH)->生成 IFF 组密钥。
  • ntpsrv:服务器(不是 TH)-> 具有“vm-centos7-srv”IFF 组密钥的副本。
  • vm-centos7-cli:客户端->具有“vm-centos7-srv”IFF 公共参数的副本。

机器同步正常,没有报告错误。但是,“vm-centos7-cli”没有设置 IFF 标志,即它有“flags=0x87f03”,而不是预期的“flags=0x87f23”。

此外,如果我们删除“vm-centos7-srv”上的所有密钥(主机和组),重新生成所有内容并重新启动 ntpd,其他机器将继续同步、验证和信任此主机。这意味着 Autokey 身份验证毫无用处,因为任何恶意服务器都可以冒充 stratum 1 机器。

C)简化架构

当通过将“vm-centos7-cli”直接与“vm-centos7-srv”同步来简化配置时,“vm-centos7-cli”上会设置 IFF 标志。标志变为 0x417f21(不知道为什么前缀不同,是 41 而不是 8)。但是,在这种情况下,即使从客户端删除组参数文件并重新启动 ntpd,标志仍保持不变,尽管 IFF 不应起作用。

两个 CentOS 7 VM 的配置均按照官方 ntpd 页面完成: http://support.ntp.org/bin/view/Support/ConfiguringAutokey

ntp-keygen 命令中添加了“-c RSA-SHA1”选项。

D)问题

  • 目标架构(即 1 个 IFF 组,带有 TH/服务器/客户端)是否可行?
  • 在完整的架构下,为什么客户端无法完成IFF认证?
  • 当 TH 上的密钥发生变化时,为什么非 TH 服务器仍进行身份验证和同步?
  • 在简化架构中,为什么客户端即使没有配置IFF组参数也会使能IFF位?
  • 标志中前几个数字的含义是什么?仅记录了最后 4 个数字,而不是前 1 个或 2 个数字。

抱歉,写了这么多,在此先感谢大家提供的信息和帮助。

相关内容