News

NTP Security and Protection

La sincronizzazione è di vitale importanza quando molti sistemi lavorano insieme in una rete. Servizi quali logging, correlazione di eventi, meccanismi di autenticazione utente, job scheduling. Ad es. backup o directory attive in esecuzione su piattaforme distribuite necessitano di timestamp accurati per registrare gli eventi in ordine cronologico ed evitare conflitti con la replica dei dati. Senza un'accurata sincronizzazione questi servizi non possono funzionare.

Come per gli altri servizi di rete, anche la sincronizzazione dell'ora è esposta a numerose vulnerabilità di cyber security come tentativi di attacco da parte di hacker e altri rischi di sicurezza. Lo spoofing e la falsificazione delle informazioni temporali possono influenzare gravemente il funzionamento di applicazioni time-critical e compromettere la stabilità delle reti. Meinberg dedica particolare attenzione alle procedure di sicurezza che vengono implementate e regolarmente aggiornate sui server LANTIME NTP per proteggere il servizio di sincronizzazione da attacchi indesiderati e garantire la regolare operatività.

Di seguito, alcune misure di protezione disponibili sui LANTIME in grado di minimizzare i rischi e ridurre le vulnerabilità.

 

Controllo degli accessi e gestione utenti

È possibile creare più utenti su un LANTIME ognuno con privilegi differenti:

• Super-User completo controllo di lettura / scrittura su Web GUI e accesso CLI

• Admin-user con restrizioni di controllo lettura / scrittura su Web GUI e nessun accesso

• Info: sola lettura della Web GUI

Figura 1: un elenco di più utenti su un LANTIME con diversi privilegi.

 


Password

Tutti gli utenti possono essere protetti da password. È possibile attivare opzioni speciali per migliorare le funzionalità di sicurezza delle password come segue:

• Lunghezza minima della password

• Garantire password sicure

• Elenco di caratteri speciali validi

• L'utente deve cambiare periodicamente la password negli intervalli forniti

Figura 2: livelli di sicurezza per la generazione di password.

 


Attivazione / Disattivazione di servizi meno sicuri

Tutti i servizi di rete disponibili possono essere attivati / disattivati separatamente per ogni interfaccia. Pertanto, tutti i protocolli di rete meno sicuri come FTP, HTTP o Telnet possono essere disattivati. Vedi il seguente esempio:

Figura 3: attivazione / disattivazione dei servizi di rete per ciascuna interfaccia separatamente.

 

 

Autenticazione - External authentication

Esistono diversi metodi di autenticazione degli account utente disponibili sui sistemi LANTIME. Un'opzione è un'autenticazione esterna con TACACS + o Radius. TACACS + al contrario di Radius fa riferimento a una famiglia di protocolli per l'autenticazione remota e il controllo dell'accesso alla rete in cui vengono crittografati interi pacchetti.

TACACS +: il sistema di controllo accessi del controller di accesso al terminale (TACACS) è un protocollo di autenticazione remoto utilizzato per comunicare con un server di autenticazione comunemente utilizzato nelle reti UNIX.

RADIUS: RADIUS (Remote Authentication Dial In User Service) è un protocollo di rete che fornisce l'autenticazione centralizzata per Time Server MEINBERG per la connessione e l'utilizzo dei servizi di rete. RADIUS è un protocollo client / server che viene eseguito nel livello applicazione, utilizzando UDP come trasporto.

Figura 4: Attivazione dell'autenticazione remota nella finestra di dialogo Gestione utenti.

 


 

Autenticazione Client / Server NTP

NTP versione 4 supporta le chiavi simmetriche e inoltre fornisce anche la funzione Autokey. Entrambe le funzionalità sono disponibili su sistemi Meinberg LANTIME. L'autenticità del tempo ricevuto dai client NTP è assicurata dalla tecnica symmetric key.

Figura 5: finestra di dialogo della GUI Web per la generazione di chiavi NTP.

 

NTP-Symmetric Keys

Protezione hardware

Esistono numerosi metodi per assicurare un funzionamento dei sistemi Meinberg LANTIME. Diverse impostazioni di configurazione ridondanti consentono a un time server di funzionare senza problemi se alcuni dei componenti presentano difficoltà operative. I sistemi Meinberg LANTIME e IMS (Intelligent Modular Synchronization) consentono configurazioni ridondate per proteggere dai seguenti potenziali guasti:

1. Guasto dell'alimentatore

2. Guasto del clock di riferimento (perdita di segnale o disturbo dannoso)

3. Fail della rete

4. Prestazioni server inadeguate

5. Danno fisico


Per approfondire o per abilitare le funzionalità descritte qui sopra non esitate a contattaci.

Categorie

I più letti