추가 보안을 위해 개인용 컴퓨터에서 NTP 데몬을 실행해야 합니까?

Question 1

NTP는 네트워크 시간 프로토콜입니다.

NTP 데몬은 단순히 컴퓨터의 시계를 하위 수준 시간 서버(Debian의 경우 *.debian.pool.ntp.org기본값)와 동기화된 상태로 유지합니다. 컴퓨터에서 실행하는 것이 좋지만 보안 관련 작업은 수행되지 않습니다.

설치하려면 다음을 실행하세요.

apt-get install ntp

Answer

NTP는 네트워크 시간 프로토콜입니다.

NTP 데몬은 단순히 컴퓨터의 시계를 하위 수준 시간 서버(Debian의 경우 *.debian.pool.ntp.org기본값)와 동기화된 상태로 유지합니다. 컴퓨터에서 실행하는 것이 좋지만 보안 관련 작업은 수행되지 않습니다.

설치하려면 다음을 실행하세요.

apt-get install ntp

Question 2

시계는 GUI 화면에 표시될 가능성이 높으므로 정확한 시계를 유지하는 것이 좋습니다. 잘못된 시간이 표시되어 혼란스러울 때가 많습니다 :) 대부분의 시스템은 이를 위해 어떤 형태의 NTP를 사용합니다. 그러나 공격 표면을 줄이고 ntpdate수동으로 한 번만 실행해야 한다면 제 생각에는 나쁜 결정이 아닙니다.

보안 문제가 있지만 개인용 컴퓨터에서는 이는 매우 중요하지 않습니다. 추리:

정확한 시계에는 두 가지 보안상의 이점이 있습니다.

잘 동기화된 로그 정보는 보안 사고 대응에 매우 유용하다고 합니다. 이는 PC와는 관련이 없습니다.
날짜가 범위를 너무 벗어나면 만료된 특정 SSL 인증서를 만료하는 데 사용되는 보안 메커니즘이 제대로 작동하지 않습니다.

우리는 시스템이 실행되는 동안 날짜 불일치가 발생할 정도로 시계가 표류하는 것을 원하지 않습니다. 그러나 시계는 다른 이유로도 틀릴 수도 있습니다. 예를 들어 RTC 배터리가 방전될 수 있습니다.

이 경우에는 nptd이 옵션으로 시작하십시오(예: Debian init 스크립트 기본값에서) -g. 아무리 오래된 것이더라도 인터넷 시간 서버에 따라 시계를 설정합니다.

오래되고 만료된 SSL 인증서를 동시에 재생하는 공격에 취약할 가능성은 거의 없습니다. 공격자는 귀하의 시계도 오래되었다고 확신할 것입니다. 잘못된 시계는 거짓 부정 오류보다 거짓 긍정 오류를 일으킬 가능성이 더 높습니다. 더 큰 보안 문제는 사용자가 SSL 만료 오류로 인해 혼란을 느끼고 실제 SSL 오류를 "클릭"할 수 있다는 것입니다.

그러나 나는 이것이 공격으로서 그다지 실용적이지 않다고 생각합니다.

"가용성" 역시 보안 속성이지만 이는 서비스 거부로 이어지는 특정 활성 공격을 의미합니다. 하드웨어 장애 또는 사용자 오류로 인해 정확한 시간 서비스가 손실된 경우, 이는 그 자체로는 보안 장애가 아닙니다.

두 번째 이유는 NTP의 보안이 SSL(https://)이나 apt-get의 보안과 다르기 때문입니다. ntpd -g그럼에도 불구하고, 적대적 네트워크는 잘못된 시간을 감지하고 제공하려고 시도할 수 있습니다.

Answer

시계는 GUI 화면에 표시될 가능성이 높으므로 정확한 시계를 유지하는 것이 좋습니다. 잘못된 시간이 표시되어 혼란스러울 때가 많습니다 :) 대부분의 시스템은 이를 위해 어떤 형태의 NTP를 사용합니다. 그러나 공격 표면을 줄이고 ntpdate수동으로 한 번만 실행해야 한다면 제 생각에는 나쁜 결정이 아닙니다.

보안 문제가 있지만 개인용 컴퓨터에서는 이는 매우 중요하지 않습니다. 추리:

정확한 시계에는 두 가지 보안상의 이점이 있습니다.

잘 동기화된 로그 정보는 보안 사고 대응에 매우 유용하다고 합니다. 이는 PC와는 관련이 없습니다.
날짜가 범위를 너무 벗어나면 만료된 특정 SSL 인증서를 만료하는 데 사용되는 보안 메커니즘이 제대로 작동하지 않습니다.

우리는 시스템이 실행되는 동안 날짜 불일치가 발생할 정도로 시계가 표류하는 것을 원하지 않습니다. 그러나 시계는 다른 이유로도 틀릴 수도 있습니다. 예를 들어 RTC 배터리가 방전될 수 있습니다.

이 경우에는 nptd이 옵션으로 시작하십시오(예: Debian init 스크립트 기본값에서) -g. 아무리 오래된 것이더라도 인터넷 시간 서버에 따라 시계를 설정합니다.

오래되고 만료된 SSL 인증서를 동시에 재생하는 공격에 취약할 가능성은 거의 없습니다. 공격자는 귀하의 시계도 오래되었다고 확신할 것입니다. 잘못된 시계는 거짓 부정 오류보다 거짓 긍정 오류를 일으킬 가능성이 더 높습니다. 더 큰 보안 문제는 사용자가 SSL 만료 오류로 인해 혼란을 느끼고 실제 SSL 오류를 "클릭"할 수 있다는 것입니다.

그러나 나는 이것이 공격으로서 그다지 실용적이지 않다고 생각합니다.

"가용성" 역시 보안 속성이지만 이는 서비스 거부로 이어지는 특정 활성 공격을 의미합니다. 하드웨어 장애 또는 사용자 오류로 인해 정확한 시간 서비스가 손실된 경우, 이는 그 자체로는 보안 장애가 아닙니다.

두 번째 이유는 NTP의 보안이 SSL(https://)이나 apt-get의 보안과 다르기 때문입니다. ntpd -g그럼에도 불구하고, 적대적 네트워크는 잘못된 시간을 감지하고 제공하려고 시도할 수 있습니다.

Question 3

NTP와 관련된 두 가지 개념이 있습니다. 첫 번째는 NTP 클라이언트이고 두 번째는 NTP 서버입니다.

NTP 서버는 포트 123을 통해 NTP 클라이언트에 정확한 시간을 제공하므로 DDOS 공격의 희생양이 될 수 있습니다. 일부가 있습니다통계자료많은 NTP 서버는 매우 오래된 버전의 NTP 데몬(아마도 1/4 이상)을 사용합니다. 공격자는 NTP 데몬의 오래된 버전에서 발견된 취약점을 악용할 수 있습니다.

하지만 NTP 클라이언트가 필요하기 때문에 그것은 문제가 아닙니다.현지 시간 동기화공용 NTP 서버를 사용합니다. 당신은해야합니다신뢰할 수 있는 서버를 선택하세요(예를 들어http://www.pool.ntp.org/ru/) 데몬을 올바르게 구성하십시오.

Answer

NTP와 관련된 두 가지 개념이 있습니다. 첫 번째는 NTP 클라이언트이고 두 번째는 NTP 서버입니다.

NTP 서버는 포트 123을 통해 NTP 클라이언트에 정확한 시간을 제공하므로 DDOS 공격의 희생양이 될 수 있습니다. 일부가 있습니다통계자료많은 NTP 서버는 매우 오래된 버전의 NTP 데몬(아마도 1/4 이상)을 사용합니다. 공격자는 NTP 데몬의 오래된 버전에서 발견된 취약점을 악용할 수 있습니다.

하지만 NTP 클라이언트가 필요하기 때문에 그것은 문제가 아닙니다.현지 시간 동기화공용 NTP 서버를 사용합니다. 당신은해야합니다신뢰할 수 있는 서버를 선택하세요(예를 들어http://www.pool.ntp.org/ru/) 데몬을 올바르게 구성하십시오.

Question 4

각 제안은 PC와 클라이언트 모두에 적용될 수 있지만 이에 대한 배경 지식이 필요합니다... dr01이 말했듯이 이 특정 서비스는 시간 중독을 피할 수 있습니다.여기시간 중독에 대해서...

몇 가지 유용한 제안은 다음과 같습니다.

항상 신뢰할 수 있는 네트워크 내에서 서비스를 실행하세요.

즉, 서비스를 실행해야 하거나 실행하려는 경우 서비스가 네트워크 내에 유지되도록 해야 하며, 보안을 유지하려면 라우터 뒤에 좋은 방화벽이 필요합니다.

실제로 서비스를 실행해보면필요그것

당신이라면 쉽습니다필요서비스를 실행하고 실행하지 않으면 피하세요. 더 많은 서비스를 실행할수록 공격자가 공격을 시도할 수 있는 경로가 더 많아집니다.

필요한 서비스 외에는 루트로 서비스를 실행하지 마세요.

이것은 명백하지만 항상 기억하십시오. 필요하지 않은 서비스를 루트로 실행하지 마십시오. 서비스 중 하나라도 손상되면 전체 시스템이 손상됩니다.

우리 커뮤니티에는 훌륭한 가이드가 있습니다서비스 보안 보장현재 실행 중인 다른 서비스에 대한 자세한 내용을 검색해야 하는 경우.

Answer