systemd : Le NTP avec systemd-timesyncd - Wiki - Wiki
▻https://www.linuxtricks.fr/wiki/systemd-le-ntp-avec-systemd-timesyncd
Synchronisation de l’heure d’un serveur Debian avec timedatectl (systemctl pour NTP)
#timedatectl #debian #NTP #synchronisation #date #heure
Régler la date et l’heure sur un serveur linux [zonewebmaster.eu - Ressources pour webmaster]
▻https://www1.zonewebmaster.eu/serveur-debian-general:regler-date-heure
Installation et configuration de ntp
#Des_routes_et_des_Ponts (18) – À la croisée des chemins
▻https://framablog.org/2017/01/10/des-routes-et-des-ponts-18-a-la-croisee-des-chemins
Le 12 septembre dernier, Framalang commençait la traduction de l’ouvrage de Nadia Eghbal Des routes et des ponts. Aujourd’hui, nous vous proposons le dernier chapitre de ce livre. Ce chapitre s’interroge sur la marche à suivre pour continuer les avancées … Lire la suite
#Internet_et_société #Libres_Cultures #Libres_Logiciels #communautés #infrastucture #NTP #OpenSource #soutenir
#Google : et maintenant le tracking par le #Ntp !
▻http://www.dsfc.net/infrastructure/reseau/google-tracking-ntp
Question : Google vous propose-t-il d’utiliser ses serveurs de temps NTP pour la couleur de vos beaux yeux ?
#Réseau #Formateur_Centos #Formateur_Fedora #Formateur_Linux #Formateur_NTP #Formateur_Oracle_Linux #Formateur_Red_Hat #Linux #Network_Time_Protocol
#Windows_10, #Serveur_de_temps #Ntp
▻http://www.dsfc.net/infrastructure/reseau/windows-10-serveur-de-temps-ntp
Windows 10 peut être très facilement et rapidement transformé en serveur de temps NTP !
A nuclearized world
►http://visionscarto.net/a-nuclearized-world
Title: A nuclearized world Keywords: #Nuclear #Armament #NTP #Atomic_bomb #Nuclear_powerplant #Nuclear_states Publication: Unpublished map. Author: Philippe Rekacewicz Date: January 2016. See also: In French : Aux Nations unies, qui vote avec qui ? After the UN general assembly in 2015, analysis of votes about the resolutions on disarmament and international security.
A very good talk on “Time and Computers” UTC, atomic clocks, Posix, #NTP, GPS, Bureau International des Poids et Mesures, and of course the debate on #leap_second
▻http://seriot.ch/resources/talks_papers/20151022_time_and_computers_softshake.pdf
NTP - Network Time Protocol - can be abused for attacks on HTTPS, DNSSEC, and Bitcoin.
Researchers at University of Boston describe how unencrypted NTP traffic can be intercepted and then used to change the time of clients. For example, the clock can be turned back to a point where the host would accept a fraudulent digital certificate that has been revoked.
Or by advancing the time on a DNS resolver the DNSSEC validation can be made to fail.
The researches also give advice on how to protect yourself against these various attacks.
Attacking the Network Time Protocol
Abstract—We explore the risk that network attackers can
exploit unauthenticated Network Time Protocol (NTP) traffic to
alter the time on client systems. We first discuss how an onpath
attacker, that hijacks traffic to an NTP server, can quickly
shift time on the server’s clients. Then, we present a extremely
low-rate (single packet) denial-of-service attack that an off-path
attacker, located anywhere on the network, can use to disable NTP
clock synchronization on a client. Next, we show how an off-path
attacker can exploit IPv4 packet fragmentation to dramatically
shift time on a client. We discuss the implications on these
attacks on other core Internet protocols, quantify their attack
surface using Internet measurements, and suggest a few simple
countermeasures that can improve the security of NTP.
▻http://www.cs.bu.edu/~goldbe/papers/NTPattack.pdf
backup: ▻http://docdro.id/Cf0QqBD
Une série d’attaques portant sur le protocole de synchronisation d’horloges #NTP (et sur sa mise en œuvre la plus répandue) ont été publiées hier (la date n’est pas innocente, pour une attaque portant sur le temps) dans « Attacking the Network Time Protocol ». Les conséquences théoriquement possibles sobnt multiples : certificats acceptés alors qu’ils ne devraient plus l’être, attaques par déni de service contre DNSSEC, journaux inexploitables en cas d’attaque car la machine a une mauvaise heure, etc. Les identificateurs officiels sont CVE-2015-7704, CVE-2015-7705 et CVE-2015-5300.
Le papier officiel (bonen lecture, recommandée) : ►http://www.cs.bu.edu/~goldbe/NTPattack.html Un résumé en anglais assez sensationnaliste : ▻http://arstechnica.com/security/2015/10/new-attacks-on-network-time-protocol-can-defeat-https-and-create-chaos Un autre résumé : ▻http://www.networkworld.com/article/2996260/researchers-warn-computer-clocks-can-be-easily-scrambled.html Une implémentation, évidemment nommée DeLorean : ▻http://www.en.pentester.es/2015/10/delorean.html RFC NTP : ►http://www.bortzmeyer.org/5905.html
L’INsécurité de NTP est bien connue ►http://www.bortzmeyer.org/7384.html Comme souvent dans les articles de sécurité, ce dernier papier contient des problèmes réels qu’il faut traiter mais aussi pas mal de marketing et de boursouflures.
Pour la pratique, voici ce que les administrateurs système peuvent faire :
1) Patcher ntpd pour AU MOINS 4.2.8p4 (dans Debian, par exemple, le
patch n’est pas encore arrivé)
▻http://support.ntp.org/bin/view/Main/SecurityNotice#Recent_Vulnerabilities
2) Vérifier les serveurs, notamment pour l’attaque par fragmentation
(on ne doit pas accepter de fragmenter à des tailles ridicules)
Normalement, Linux n’est pas vulnérable
▻http://cschramm.blogspot.fr/2012/12/why-does-linux-enforce-minimum-mtu-of.html
2bis) Vérifier qu’on a bien déployé l’authentification NTP partout où
c’est possible
3) Surveiller les serveurs pour voir si l’attaque est réellement exploitée
Shell :
for server in $SERVERS; do
ssh $server date -u
doneAnsible :
ansible -m shell -a "date -u" all4) À plus long terme (pour les courageux) :
– Refaire les mesures de temps d’Alain Thivillon (mesures de plein de serveurs Web publics) pour voir si ces attaques sont faites en vrai.
– Développer un ▻https://www.monitoring-plugins.org script qui compare l’horloge des serveurs à une référence (supposée ignorée de l’attaquant)
Pour ces deux derniers développements, on peut s’inspirer de tlsdate ▻https://github.com/ioerror/tlsdate
Pour le script de supervision, Cédric Temple me fait remarquer qu’il existe déjà ▻https://www.monitoring-plugins.org/doc/man/check_ntp_time.html
Dans Icinga, on peut l’utiliser ainsi :
define service{
use generic-service
hostgroup_name mes-machines
service_description NTP
check_command check_ntp_time!-w 0.01 -c 0.02
}
Un article technique détaillé sur une des attaques NTP publiées ▻http://talosintel.com/reports/TALOS-2015-0069
Excellent article technique sur comment les sondes #RIPE_Atlas se tiennent à l’heure (ne sautez pas en disant « il suffit d’utiliser #NTP », c’est plus compliqué que cela) et comment on peut désormais les utiliser pour mesurer les serveurs NTP (je crains qu’on ne découvre désormais des horreurs).
▻https://labs.ripe.net/Members/philip_homburg/ntp-measurements-with-ripe-atlas
Mettre vos serveurs à la bonne #heure avec #ntp - System-Linux
▻http://www.system-linux.eu/index.php?post/2010/01/05/Mettre-vos-serveurs-%C3%A0-la-bonne-heure-avec-NTP
installation et utilisation de ntp sur #debian
Grosse faille de sécurité dans le logiciel ntpd, la principale mise en œuvre du protocole #NTP sur Unix. Mettez à jour (par exemple le serveur de SeenThis).
Synthèse : ▻http://arstechnica.com/security/2014/12/attack-code-exploiting-critical-bugs-in-net-time-sync-puts-servers-at-r
Avis de CERT : ▻http://www.kb.cert.org/vuls/id/852879
▻https://ics-cert.us-cert.gov/advisories/ICSA-14-353-01
J’ai oublié les identificateurs : CVE-2014-9294 et CVE-2014-9295
Correctif dispo sous Ubuntu server : ▻https://launchpad.net/ubuntu/+source/ntp/1:4.2.6.p3+dfsg-1ubuntu3.1
RFC 7384 : Security Requirements of Time Protocols in Packet Switched Networks
De plus en plus de protocoles sur l’Internet dépendent d’une horloge correcte. L’époque où les machines étaient vaguement mises à une heure approximative, de façon purement manuelle, est révolue. Aujourd’hui, il est essentiel de connaître l’heure exacte, et cela implique des dispositifs automatiques comme #NTP. C’est encore plus essentiel quand il s’agit de protocoles de sécurité, comme DNSSEC (pour déterminer si une signature a expiré) ou X.509 (pour savoir si un certificat est encore valable). Mais cette utilisation du temps comme donnée dans un protocole de sécurité pose elle-même des problèmes de sécurité : si un attaquant perturbe NTP, ne risque-t-il pas d’imposer une fausse heure, et donc de subvertir des protocoles de sécurité ? D’où le groupe de travail TICTOC de l’IETF, dont voici le premier #RFC : le cahier des charges des solutions de sécurité pour les protocoles de #synchronisation_d_horloges, comme NTP.
A very good study and tutorial about dDoS attacks using reflection+amplification.
▻https://app.box.com/s/r7an1moswtc7ce58f8gg
I love the conclusion: “Automation is a Good Thing, but it is no substitute for resilient architecture, insightful planning, and smart opsec personnel, who are more important now than ever before!”
And, if you don’t like this site’s JavaScript, a direct link to the PDF ▻http://presentations.liopen.fr/reflectionamplificationpublic.pdf
World’s largest DDoS strikes US, Europe
▻http://www.itnews.com.au/News/372033,worlds-largest-ddos-strikes.aspx
It is unclear how many websites and users were affected, although at least one French networking host reported a 350Gbps DDoS attack during the assault.
CloudFlare chief executive Matthew Prince said the attack tipped 400Gbps, 100Gbps larger than the previous record #DDoS attack which used #DNS reflective amplification.
C’est une mauvaise nouvelle. Ça veut dire que les temps vont devenir difficiles si ça se confirme. Ça va diminuer le coût d’une commande d’attaques DDOS. Sera-t-il possible de blinder les hébergements militants ?
La plus grande attaque #dDoS de tous les temps... (je sais, j’ai déjà écrit cela, mais cela augmente réellement à chaque fois) Voir aussi ▻http://seenthis.net/messages/224061
Pour tous les administrateurs système et réseaux, un excellent article sur « les dix choses qu’on oublie toujours de superviser » (par exemple #NTP, le #DNS, etc).
▻http://word.bitly.com/post/74839060954/ten-things-to-monitor
Les attaques par réflexion utilisant NTP
Sauf si vous n’êtes abonné à aucune liste de diffusion, aucun canal IRC, aucun rézosocio, aucun flux de syndication, aucun salon XMPP, bref, sauf si vous êtes coupé de tous les moyens d’informations modernes, vous savez que, depuis le mois de décembre 2013, les attaques par réflexion utilisant le protocole #NTP ont connu une hausse spectaculaire et ont complètement chassé des médias les « vieilles » attaques DNS.
Les braves gars de Online utilisent ton post dans le texte de leurs abuses.
Bonjour,
votre machine XXX.XXX.XXX.XXX héberge un serveur NTP qui permet des attaques par amplification,
merci de limiter les requêtes autorisées sur votre serveur pour empêcher tout DDoS depuis votre machine.
Il faut impérativement corriger cette faille où nous serons dans l’obligation de suspendre votre machine pour stopper tout DDoS sortant de celle-ci.
Vous trouverez une explication détaillée du problème sur ►http://www.bortzmeyer.org/ntp-reflexion.html
N’hésitez pas à contacter le support Online.net pour plus d’informations.
Le Service Abuse Online.net
La semaine dernière, j’ai vérifié tous mes linux et en particulier leurs firewalls... Je n’avais pas pensé à vérifier les hôtes ESX, dont le serveur NTP est en écoute par défaut, je le découvre. Et il me semble que ok, il est en écoute, mais il n’est pas complice de DDOS à mon sens... il répond mal... enfin je crois, je ne suis pas allé vérifier en sniffant... Mais peut-être participe-t-il... Auquel cas des milliers de serveurs NTP vont devoir être stoppés de par le monde... car là, dans l’instant, sur cet ESX, je ne voyais pas trop quoi faire d’autre.
~# ntpdc -n -c monlist XXX.XXX.XXX.XXX
XXX.XXX.XXX.XXX : timed out with incomplete data
***Response from server was incomplete
@BigGrizzly : ils ont bien raison :-)
Sinon, les attaques NTP grossissent : ▻http://seenthis.net/messages/226784
Dans ESX 4.0, le « noquery » est présent dans ntp.conf... et dans la version 4.1, il a disparu... Groumf...
▻http://ar0.me/blog/en/posts/2014/01/howto-prevent-malicious-usage-of-vmware-esxi-in-ntp-reflection-attacks.html
Et un exemple d’analyse d’une vraie attaque ▻http://www.bortzmeyer.org/attaque-ntp-en-vrai.html
New DRDoS (Distributed Reflection Denial-of-Service) based on NTP, similar to the previous DNS open resolver based DDoS in 2013
The mechanism is to spoof UDP port 123 packets with a REQ_MON_GETLIST request, which will return the last 600 clients with NTP requests and hence the significant BAF - Bandwidth Amplification Factor. NTP is reflection-vulnerable as it does not validate the source IP of the sender.
Affected are all versions of ntpd prior to 4.2.7p26;
this last version has disabled support for MON_GETLIST
How to test if you are vunerable ?
ntpq -c rv
ntpdc -c sysinfo
ntpdc -n -c monlist
If the last command returns nothing then you’re OK.
If it returns a whole list of hostnames and IP addresses, then you know what time it is…
Solutions :
(1)
Download version 4.2.7p26 or later: ▻http://www.ntp.org/downloads.html
(2)
Disable queries: if update is not possible in your environment then a workaround is to disable status queries by adding to /etc/ntp.conf:
For IPv4 : restrict default kod nomodify notrap nopeer noquery
For IPv6: restrict -6 default kod nomodify notrap nopeer noquery
(restart ntpd after the change)
(3)
Allow status queries but disable “ntpdc –c monlist” via “disable monitor”
Either approach is a good idea because
(a) you protect your network from unwanted reconnaissance, as monlist is included in network tools such as NMAP or metasploit
(b) you avoid participating in DRDoS attacks and probably also suffering from it.
Official Security Reports :
NIST reference of the vulnerability
▻http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5211
CERT vulnerability notice
▻http://www.kb.cert.org/vuls/id/348126
Other reports on this NTP DRDoS :
very good : "Understanding and mitigating NTP-based DDoS attacks" - ▻http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks
"New DoS attacks taking down game sites deliver crippling 100Gbps floods" ▻http://arstechnica.com/security/2014/01/new-dos-attacks-taking-down-game-sites-deliver-crippling-100-gbps-flood
"Les attaques DDoS sur l’industrie du jeu mettent en lumière les faiblesses de sécurité du NTP" ▻http://www.pcworld.fr/jeux-video/actualites,attaques-ddos-steam-origin-league-leagends-planetside-guild-wars-
▻http://www.theregister.co.uk/2014/01/21/open_ntp_patching_project
Documentation :
"Hardening Cisco Routers - Chapter 10: NTP" - ▻http://oreilly.com/catalog/hardcisco/chapter/ch10.html
"Network Time Protocol (NTP): Overview and Configuration" - ▻http://e2epi.internet2.edu/npw/a2/ntp.pdf
▻http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html
How NTP works :
▻http://www.eecis.udel.edu/~mills/ntp/html/warp.html
▻http://www.ntp.org
NTP RFCs :
– "RFC 5905: Network Time Protocol Version 4: Protocol and Algorithms Specification" ▻http://www.ietf.org/rfc/rfc5905.txt
– Ou la version Bortzmeyer, excellente dans son ample élaboration comme d’habitude : ►http://www.bortzmeyer.org/5905.html
– "RFC 5906: Network Time Protocol Version 4: Autokey Specification" ▻http://www.ietf.org/rfc/rfc5906.txt
– "RFC 5907: Definitions of Managed Objects for Network Time Protocol Version 4 (NTPv4)" ▻http://www.ietf.org/rfc/rfc5907.txt
– "RFC 5908: Network Time Protocol (NTP) Server Option for DHCPv6" ▻http://www.ietf.org/rfc/rfc5908.txt
#DRDoS
#DDoS
#BAF
#denial-of-service
#NTP
#reflection
#NMAP
#metasploit
#security
#vulnerability
Fidèles à la loi de Murphy, les pannes aiment bien frapper là où on ne les attend pas. C’est ce qui est arrivé le 19 novembre 2012 entre à peu près 2100 et 2200 UTC, lorsqu’un composdant critique mais très peu connu de l’Internet a soudainement eu un hoquet : un des serveurs #NTP de l’#USNO (US Naval Observatory, dépendant de la marine de guerre états-unienne) a eu un problème et remis son horloge douze ans en arrière. Cela n’a l’air de rien mais, sur l’Internet, des tas de choses dépendent d’une heure correcte, notamment dans les domaines de la sécurité et de l’authentification. Et cette heure correcte est en général distribuée à tous les serveurs par le protocole NTP. Il existe plein de serveurs NTP publics qui distribuent l’heure mais les deux serveurs historiques de l’USNO, tick.usno.navy.mil et tock.usno.navy.mil sont parmi les plus populaires. Lorsqu’ils divaguent, ils entraînent un bon bout de l’Internet avec eux.
Un exemple d’un message dans le journal d’une machine : « Nov 19 14:22:16.062 MST : %SYS-6-CLOCKUPDATE : System clock has been updated from 14:22:16 MST Mon Nov 19 2012 to 14:22:16 MST Sun Nov 19 2000, configured from NTP by 192.5.41.40. » (l’adresse IP est celle de tick)
Un court résumé par SANS : ►https://isc.sans.edu/diary.html?n&storyid=14548
Le service NTP de l’USNO : ►http://www.usno.navy.mil/USNO/time/ntp
Conséquences de la panne sur Windows et Active Directory : ►http://blogs.technet.com/b/askpfeplat/archive/2012/11/19/did-your-active-directory-domain-time-just-jump-to-the-year-2000.aspx
La norme NTP : ►http://www.bortzmeyer.org/5905.html
Il n’y a apparemment pas encore de communiqué officiel de l’USNO. Mais quelques bons conseils pour la prochaine fois : ayez plusieurs serveurs NTP, synchronisés à des sources différentes, et supervisez les automatiquement.
C’est marrant un serveur de la marine qui divaguent.
Et une jolie citation de Robert Seastrom : « In my experience NTP beats out even DNS for “blatantly wrong configs in the wild that nevertheless seem to work well enough that dilettante tech folks don’t notice”. »
Le seul message officiel de l’USNO, mis sur ►http://tycho.usno.navy.mil/ntp.html : « USNO NTP FAILURE — 19 NOV 2012
On Monday, November 19, USNO made what was expected to be a routine upgrade. Unfortunately, for 51 minutes, between 21:07:32 - 21:58:56 UTC, the server gave out the year as 2000 instead of 2012. We have resolved the issue that caused this error.
We regret the disruptions that this may have caused. We strongly recommend that all NTP users configure their software to get time from three different sources at a minimum. Most software should be able to use the redundant data to identify and ignore incorrect time sources. You can find a list of other time sources at ►http://support.ntp.org/bin/view/Servers/WebHome. »
Plusieurs personnes m’ont fait remarquer que les implémentations de NTP (par exemple OpenNTP) ont une protection contre les changements trop brutaux de l’horloge (par exemple, ne jamais déplacer l’horloge de plus de 1000 secondes). Mais les témoignages sur des listes de diffusion comme Nanog ou Outages montrent que pas mal de gens ont quand même eu le problème. Soit ils avaient débrayé cette sécurité, soit ils avaient une implémentation qui n’avait pas cette proteection.
