Seenthis
•
 
Identifiants personnels
  • [mot de passe oublié ?]

 
  • #n
RSS: #ntp

#ntp

  • #ntpdate
  • @cy_altern
    cy_altern @cy_altern CC BY-SA 30/03/2022

    systemd : Le NTP avec systemd-timesyncd - Wiki - Wiki
    ▻https://www.linuxtricks.fr/wiki/systemd-le-ntp-avec-systemd-timesyncd

    Synchronisation de l’heure d’un serveur Debian avec timedatectl (systemctl pour NTP)

    #timedatectl #debian #NTP #synchronisation #date #heure

    cy_altern @cy_altern CC BY-SA
    Écrire un commentaire
  • @cy_altern
    cy_altern @cy_altern CC BY-SA 22/12/2019

    Régler la date et l’heure sur un serveur linux [zonewebmaster.eu - Ressources pour webmaster]
    ▻https://www1.zonewebmaster.eu/serveur-debian-general:regler-date-heure

    Installation et configuration de ntp

    #ntp #ntpdate #serveur_temps

    cy_altern @cy_altern CC BY-SA
    Écrire un commentaire
  • @framasoft
    Framasoft.org @framasoft CC BY 17/01/2017

    #Des_routes_et_des_Ponts (18) – À la croisée des chemins
    ▻https://framablog.org/2017/01/10/des-routes-et-des-ponts-18-a-la-croisee-des-chemins

    Le 12 septembre dernier, Framalang commençait la traduction de l’ouvrage de Nadia Eghbal Des routes et des ponts. Aujourd’hui, nous vous proposons le dernier chapitre de ce livre. Ce chapitre s’interroge sur la marche à suivre pour continuer les avancées … Lire la suite­­

    #Internet_et_société #Libres_Cultures #Libres_Logiciels #communautés #infrastucture #NTP #OpenSource #soutenir

    Framasoft.org @framasoft CC BY
    Écrire un commentaire
  • @bloginfo
    bloginfo @bloginfo CC BY-NC-ND 8/12/2016

    #Google : et maintenant le tracking par le #Ntp !
    ▻http://www.dsfc.net/infrastructure/reseau/google-tracking-ntp

    https://ciscofriend.files.wordpress.com/2011/11/ntp.png

    Question : Google vous propose-t-il d’utiliser ses serveurs de temps NTP pour la couleur de vos beaux yeux ?

    #Réseau #Formateur_Centos #Formateur_Fedora #Formateur_Linux #Formateur_NTP #Formateur_Oracle_Linux #Formateur_Red_Hat #Linux #Network_Time_Protocol

    • #Google
    bloginfo @bloginfo CC BY-NC-ND
    Écrire un commentaire
  • @bloginfo
    bloginfo @bloginfo CC BY-NC-ND 16/03/2016

    #Windows_10, #Serveur_de_temps #Ntp
    ▻http://www.dsfc.net/infrastructure/reseau/windows-10-serveur-de-temps-ntp

    http://media-cache-ec0.pinimg.com/736x/53/11/f5/5311f5b07e28a1af8dd0de882c9c62fb.jpg

    Windows 10 peut être très facilement et rapidement transformé en serveur de temps NTP !

    #Réseau #Formateur_NTP #Formateur_Windows_10

    bloginfo @bloginfo CC BY-NC-ND
    Écrire un commentaire
  • @visionscarto
    visionscarto @visionscarto 26/01/2016

    A nuclearized world
    ►http://visionscarto.net/a-nuclearized-world

    Title: A nuclearized world Keywords: #Nuclear #Armament #NTP #Atomic_bomb #Nuclear_powerplant #Nuclear_states Publication: Unpublished map. Author: Philippe Rekacewicz Date: January 2016. See also: In French : Aux Nations unies, qui vote avec qui ? After the UN general assembly in 2015, analysis of votes about the resolutions on disarmament and international security.

    #Map_collection

    visionscarto @visionscarto
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 8/01/2016

    A very good talk on “Time and Computers” UTC, atomic clocks, Posix, #NTP, GPS, Bureau International des Poids et Mesures, and of course the debate on #leap_second

    ▻http://seriot.ch/resources/talks_papers/20151022_time_and_computers_softshake.pdf

    #time #UTC

    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire
  • @erratic
    schrödinger @erratic 26/10/2015

    NTP - Network Time Protocol - can be abused for attacks on HTTPS, DNSSEC, and Bitcoin.

    Researchers at University of Boston describe how unencrypted NTP traffic can be intercepted and then used to change the time of clients. For example, the clock can be turned back to a point where the host would accept a fraudulent digital certificate that has been revoked.

    Or by advancing the time on a DNS resolver the DNSSEC validation can be made to fail.

    The researches also give advice on how to protect yourself against these various attacks.

    Attacking the Network Time Protocol

    ►http://www.cs.bu.edu/~goldbe/NTPattack.html

    Abstract—We explore the risk that network attackers can
    exploit unauthenticated Network Time Protocol (NTP) traffic to
    alter the time on client systems. We first discuss how an onpath
    attacker
    , that hijacks traffic to an NTP server, can quickly
    shift time on the server’s clients. Then, we present a extremely
    low-rate (single packet) denial-of-service attack that an off-path
    attacker
    , located anywhere on the network, can use to disable NTP
    clock synchronization on a client. Next, we show how an off-path
    attacker can exploit IPv4 packet fragmentation to dramatically
    shift time on a client. We discuss the implications on these
    attacks on other core Internet protocols, quantify their attack
    surface using Internet measurements, and suggest a few simple
    countermeasures
    that can improve the security of NTP.

    ▻http://www.cs.bu.edu/~goldbe/papers/NTPattack.pdf
    backup: ▻http://docdro.id/Cf0QqBD

    #back_to_the_future
    #NTP #HTTPS #DNSSEC
    #DoS
    #Timeshift

    schrödinger @erratic
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 22/10/2015
    3
    @b_b
    @cy_altern
    @erratic
    3

    Une série d’attaques portant sur le protocole de synchronisation d’horloges #NTP (et sur sa mise en œuvre la plus répandue) ont été publiées hier (la date n’est pas innocente, pour une attaque portant sur le temps) dans « Attacking the Network Time Protocol ». Les conséquences théoriquement possibles sobnt multiples : certificats acceptés alors qu’ils ne devraient plus l’être, attaques par déni de service contre DNSSEC, journaux inexploitables en cas d’attaque car la machine a une mauvaise heure, etc. Les identificateurs officiels sont CVE-2015-7704, CVE-2015-7705 et CVE-2015-5300.

    Le papier officiel (bonen lecture, recommandée) : ►http://www.cs.bu.edu/~goldbe/NTPattack.html Un résumé en anglais assez sensationnaliste : ▻http://arstechnica.com/security/2015/10/new-attacks-on-network-time-protocol-can-defeat-https-and-create-chaos Un autre résumé : ▻http://www.networkworld.com/article/2996260/researchers-warn-computer-clocks-can-be-easily-scrambled.html Une implémentation, évidemment nommée DeLorean : ▻http://www.en.pentester.es/2015/10/delorean.html RFC NTP : ►http://www.bortzmeyer.org/5905.html

    L’INsécurité de NTP est bien connue ►http://www.bortzmeyer.org/7384.html Comme souvent dans les articles de sécurité, ce dernier papier contient des problèmes réels qu’il faut traiter mais aussi pas mal de marketing et de boursouflures.

    Pour la pratique, voici ce que les administrateurs système peuvent faire :

    1) Patcher ntpd pour AU MOINS 4.2.8p4 (dans Debian, par exemple, le
    patch n’est pas encore arrivé)
    ▻http://support.ntp.org/bin/view/Main/SecurityNotice#Recent_Vulnerabilities

    2) Vérifier les serveurs, notamment pour l’attaque par fragmentation
    (on ne doit pas accepter de fragmenter à des tailles ridicules)
    Normalement, Linux n’est pas vulnérable
    ▻http://cschramm.blogspot.fr/2012/12/why-does-linux-enforce-minimum-mtu-of.html

    2bis) Vérifier qu’on a bien déployé l’authentification NTP partout où
    c’est possible

    3) Surveiller les serveurs pour voir si l’attaque est réellement exploitée

    Shell :

    for server in $SERVERS; do
       ssh $server date -u
    done

    Ansible :

    ansible -m shell -a "date -u" all

    4) À plus long terme (pour les courageux) :

    – Refaire les mesures de temps d’Alain Thivillon (mesures de plein de serveurs Web publics) pour voir si ces attaques sont faites en vrai.

    – Développer un ▻https://www.monitoring-plugins.org script qui compare l’horloge des serveurs à une référence (supposée ignorée de l’attaquant)

    Pour ces deux derniers développements, on peut s’inspirer de tlsdate ▻https://github.com/ioerror/tlsdate

    Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 22/10/2015

      Pour le script de supervision, Cédric Temple me fait remarquer qu’il existe déjà ▻https://www.monitoring-plugins.org/doc/man/check_ntp_time.html

      Dans Icinga, on peut l’utiliser ainsi :

      define service{
             use                             generic-service
             hostgroup_name                       mes-machines
             service_description             NTP
             check_command                   check_ntp_time!-w 0.01 -c 0.02
             }
      Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 22/10/2015

      Et en français ▻http://www.itespresso.fr/securite-it-ntp-maillon-faible-cyberespace-111373.html

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 23/10/2015

      Un article technique détaillé sur une des attaques NTP publiées ▻http://talosintel.com/reports/TALOS-2015-0069

      Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 23/02/2015

    Excellent article technique sur comment les sondes #RIPE_Atlas se tiennent à l’heure (ne sautez pas en disant « il suffit d’utiliser #NTP », c’est plus compliqué que cela) et comment on peut désormais les utiliser pour mesurer les serveurs NTP (je crains qu’on ne découvre désormais des horreurs).

    ▻https://labs.ripe.net/Members/philip_homburg/ntp-measurements-with-ripe-atlas

    #Internet #métrologie

    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire
  • @cy_altern
    cy_altern @cy_altern CC BY-SA 31/01/2015

    Mettre vos serveurs à la bonne #heure avec #ntp - System-Linux
    ▻http://www.system-linux.eu/index.php?post/2010/01/05/Mettre-vos-serveurs-%C3%A0-la-bonne-heure-avec-NTP

    installation et utilisation de ntp sur #debian

    #serveur #time #synchronisation

    cy_altern @cy_altern CC BY-SA
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 21/12/2014
    1
    @erratic
    1

    Grosse faille de sécurité dans le logiciel ntpd, la principale mise en œuvre du protocole #NTP sur Unix. Mettez à jour (par exemple le serveur de SeenThis).

    Synthèse : ▻http://arstechnica.com/security/2014/12/attack-code-exploiting-critical-bugs-in-net-time-sync-puts-servers-at-r

    Avis de CERT : ▻http://www.kb.cert.org/vuls/id/852879
    ▻https://ics-cert.us-cert.gov/advisories/ICSA-14-353-01

    #sécurité_informatique

    Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 22/12/2014

      J’ai oublié les identificateurs : CVE-2014-9294 et CVE-2014-9295

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @b_b
      b_b @b_b PUBLIC DOMAIN 23/12/2014

      Correctif dispo sous Ubuntu server : ▻https://launchpad.net/ubuntu/+source/ntp/1:4.2.6.p3+dfsg-1ubuntu3.1

      b_b @b_b PUBLIC DOMAIN
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 30/10/2014

    RFC 7384 : Security Requirements of Time Protocols in Packet Switched Networks

    De plus en plus de protocoles sur l’Internet dépendent d’une horloge correcte. L’époque où les machines étaient vaguement mises à une heure approximative, de façon purement manuelle, est révolue. Aujourd’hui, il est essentiel de connaître l’heure exacte, et cela implique des dispositifs automatiques comme #NTP. C’est encore plus essentiel quand il s’agit de protocoles de sécurité, comme DNSSEC (pour déterminer si une signature a expiré) ou X.509 (pour savoir si un certificat est encore valable). Mais cette utilisation du temps comme donnée dans un protocole de sécurité pose elle-même des problèmes de sécurité : si un attaquant perturbe NTP, ne risque-t-il pas d’imposer une fausse heure, et donc de subvertir des protocoles de sécurité ? D’où le groupe de travail TICTOC de l’IETF, dont voici le premier #RFC : le cahier des charges des solutions de sécurité pour les protocoles de #synchronisation_d_horloges, comme NTP.

    ►http://www.bortzmeyer.org/7384.html

    #sécurité_réseaux

    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 30/05/2014
    2
    @liotier
    @02myseenthis01
    2

    A very good study and tutorial about dDoS attacks using reflection+amplification.

    ▻https://app.box.com/s/r7an1moswtc7ce58f8gg

    I love the conclusion: “Automation is a Good Thing, but it is no substitute for resilient architecture, insightful planning, and smart opsec personnel, who are more important now than ever before!”

    #DoS #security #Internet #chargen #DNS #NTP #SNMP

    Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 30/05/2014

      And, if you don’t like this site’s JavaScript, a direct link to the PDF ▻http://presentations.liopen.fr/reflectionamplificationpublic.pdf

      Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 13/02/2014

    A few interesting technical details about the recent #NTP reflection big attacks

    ▻http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack

    #security #DoS #dDoS

    • #Dos
    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire
  • @whilelm
    WhilelM @whilelm CC BY 11/02/2014
    5
    @biggrizzly
    @loloster
    @stephane
    @fil
    @7h36
    5

    World’s largest DDoS strikes US, Europe
    ▻http://www.itnews.com.au/News/372033,worlds-largest-ddos-strikes.aspx

    It is unclear how many websites and users were affected, although at least one French networking host reported a 350Gbps DDoS attack during the assault.

    CloudFlare chief executive Matthew Prince said the attack tipped 400Gbps, 100Gbps larger than the previous record #DDoS attack which used #DNS reflective amplification.

    C’est une mauvaise nouvelle. Ça veut dire que les temps vont devenir difficiles si ça se confirme. Ça va diminuer le coût d’une commande d’attaques DDOS. Sera-t-il possible de blinder les hébergements militants ?

    #ntp #réseau #internet

    • #Europe
    WhilelM @whilelm CC BY
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 11/02/2014

      La plus grande attaque #dDoS de tous les temps... (je sais, j’ai déjà écrit cela, mais cela augmente réellement à chaque fois) Voir aussi ▻http://seenthis.net/messages/224061

      Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 3/02/2014
    1
    @biggrizzly
    1

    Pour tous les administrateurs système et réseaux, un excellent article sur « les dix choses qu’on oublie toujours de superviser » (par exemple #NTP, le #DNS, etc).

    ▻http://word.bitly.com/post/74839060954/ten-things-to-monitor

    #Nagios #Icinga #supervision

    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 2/02/2014
    6
    @homlett
    @fil
    @ccoveille
    @7h36
    @biggrizzly
    6

    Les attaques par réflexion utilisant NTP

    Sauf si vous n’êtes abonné à aucune liste de diffusion, aucun canal IRC, aucun rézosocio, aucun flux de syndication, aucun salon XMPP, bref, sauf si vous êtes coupé de tous les moyens d’informations modernes, vous savez que, depuis le mois de décembre 2013, les attaques par réflexion utilisant le protocole #NTP ont connu une hausse spectaculaire et ont complètement chassé des médias les « vieilles » attaques DNS.

    ►http://www.bortzmeyer.org/ntp-reflexion.html

    #sécurité #déni_de_service

    • #Online.net
    Stéphane Bortzmeyer @stephane CC BY-SA
    • @biggrizzly
      BigGrizzly @biggrizzly CC BY-NC-SA 11/02/2014

      Les braves gars de Online utilisent ton post dans le texte de leurs abuses.

      Bonjour,

      votre machine XXX.XXX.XXX.XXX héberge un serveur NTP qui permet des attaques par amplification,
      merci de limiter les requêtes autorisées sur votre serveur pour empêcher tout DDoS depuis votre machine.

      Il faut impérativement corriger cette faille où nous serons dans l’obligation de suspendre votre machine pour stopper tout DDoS sortant de celle-ci.

      Vous trouverez une explication détaillée du problème sur ►http://www.bortzmeyer.org/ntp-reflexion.html

      N’hésitez pas à contacter le support Online.net pour plus d’informations.

      Le Service Abuse Online.net

      La semaine dernière, j’ai vérifié tous mes linux et en particulier leurs firewalls... Je n’avais pas pensé à vérifier les hôtes ESX, dont le serveur NTP est en écoute par défaut, je le découvre. Et il me semble que ok, il est en écoute, mais il n’est pas complice de DDOS à mon sens... il répond mal... enfin je crois, je ne suis pas allé vérifier en sniffant... Mais peut-être participe-t-il... Auquel cas des milliers de serveurs NTP vont devoir être stoppés de par le monde... car là, dans l’instant, sur cet ESX, je ne voyais pas trop quoi faire d’autre.

      ~# ntpdc -n -c monlist XXX.XXX.XXX.XXX
      XXX.XXX.XXX.XXX : timed out with incomplete data
      ***Response from server was incomplete

      BigGrizzly @biggrizzly CC BY-NC-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 11/02/2014
      @biggrizzly

      @BigGrizzly : ils ont bien raison :-)

      Sinon, les attaques NTP grossissent : ▻http://seenthis.net/messages/226784

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @biggrizzly
      BigGrizzly @biggrizzly CC BY-NC-SA 12/02/2014

      Dans ESX 4.0, le « noquery » est présent dans ntp.conf... et dans la version 4.1, il a disparu... Groumf...

      ▻http://ar0.me/blog/en/posts/2014/01/howto-prevent-malicious-usage-of-vmware-esxi-in-ntp-reflection-attacks.html

      BigGrizzly @biggrizzly CC BY-NC-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 27/02/2014

      Et un exemple d’analyse d’une vraie attaque ▻http://www.bortzmeyer.org/attaque-ntp-en-vrai.html

      Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire
  • @erratic
    schrödinger @erratic 21/01/2014
    1
    @satanico64
    1

    New DRDoS (Distributed Reflection Denial-of-Service) based on NTP, similar to the previous DNS open resolver based DDoS in 2013

    The mechanism is to spoof UDP port 123 packets with a REQ_MON_GETLIST request, which will return the last 600 clients with NTP requests and hence the significant BAF - Bandwidth Amplification Factor. NTP is reflection-vulnerable as it does not validate the source IP of the sender.

    Affected are all versions of ntpd prior to 4.2.7p26;
    this last version has disabled support for MON_GETLIST

    How to test if you are vunerable ?
    ntpq -c rv
    ntpdc -c sysinfo
    ntpdc -n -c monlist

    If the last command returns nothing then you’re OK.
    If it returns a whole list of hostnames and IP addresses, then you know what time it is…

    Solutions :
    (1)
    Download version 4.2.7p26 or later: ▻http://www.ntp.org/downloads.html
    (2)
    Disable queries: if update is not possible in your environment then a workaround is to disable status queries by adding to /etc/ntp.conf:
    For IPv4 : restrict default kod nomodify notrap nopeer noquery
    For IPv6: restrict -6 default kod nomodify notrap nopeer noquery
    (restart ntpd after the change)
    (3)
    Allow status queries but disable “ntpdc –c monlist” via “disable monitor”

    Either approach is a good idea because
    (a) you protect your network from unwanted reconnaissance, as monlist is included in network tools such as NMAP or metasploit
    (b) you avoid participating in DRDoS attacks and probably also suffering from it.

    Official Security Reports :
    NIST reference of the vulnerability
    ▻http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5211
    CERT vulnerability notice
    ▻http://www.kb.cert.org/vuls/id/348126

    Other reports on this NTP DRDoS :
    very good : "Understanding and mitigating NTP-based DDoS attacks" - ▻http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks

    "New DoS attacks taking down game sites deliver crippling 100Gbps floods" ▻http://arstechnica.com/security/2014/01/new-dos-attacks-taking-down-game-sites-deliver-crippling-100-gbps-flood

    "Les attaques DDoS sur l’industrie du jeu mettent en lumière les faiblesses de sécurité du NTP" ▻http://www.pcworld.fr/jeux-video/actualites,attaques-ddos-steam-origin-league-leagends-planetside-guild-wars-

    ▻http://www.theregister.co.uk/2014/01/21/open_ntp_patching_project

    Documentation :
    "Hardening Cisco Routers - Chapter 10: NTP" - ▻http://oreilly.com/catalog/hardcisco/chapter/ch10.html

    "Network Time Protocol (NTP): Overview and Configuration" - ▻http://e2epi.internet2.edu/npw/a2/ntp.pdf

    ▻http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html

    How NTP works :
    ▻http://www.eecis.udel.edu/~mills/ntp/html/warp.html
    ▻http://www.ntp.org

    NTP RFCs :
    – "RFC 5905: Network Time Protocol Version 4: Protocol and Algorithms Specification" ▻http://www.ietf.org/rfc/rfc5905.txt

    – Ou la version Bortzmeyer, excellente dans son ample élaboration comme d’habitude : ►http://www.bortzmeyer.org/5905.html

    – "RFC 5906: Network Time Protocol Version 4: Autokey Specification" ▻http://www.ietf.org/rfc/rfc5906.txt

    – "RFC 5907: Definitions of Managed Objects for Network Time Protocol Version 4 (NTPv4)" ▻http://www.ietf.org/rfc/rfc5907.txt

    – "RFC 5908: Network Time Protocol (NTP) Server Option for DHCPv6" ▻http://www.ietf.org/rfc/rfc5908.txt

    #DRDoS
    #DDoS
    #BAF
    #denial-of-service
    #NTP
    #reflection
    #NMAP
    #metasploit
    #security
    #vulnerability

    • #DNS
    • #UDP
    schrödinger @erratic
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 20/11/2012
    1
    @thibnton
    1

    Fidèles à la loi de Murphy, les pannes aiment bien frapper là où on ne les attend pas. C’est ce qui est arrivé le 19 novembre 2012 entre à peu près 2100 et 2200 UTC, lorsqu’un composdant critique mais très peu connu de l’Internet a soudainement eu un hoquet : un des serveurs #NTP de l’#USNO (US Naval Observatory, dépendant de la marine de guerre états-unienne) a eu un problème et remis son horloge douze ans en arrière. Cela n’a l’air de rien mais, sur l’Internet, des tas de choses dépendent d’une heure correcte, notamment dans les domaines de la sécurité et de l’authentification. Et cette heure correcte est en général distribuée à tous les serveurs par le protocole NTP. Il existe plein de serveurs NTP publics qui distribuent l’heure mais les deux serveurs historiques de l’USNO, tick.usno.navy.mil et tock.usno.navy.mil sont parmi les plus populaires. Lorsqu’ils divaguent, ils entraînent un bon bout de l’Internet avec eux.

    Un exemple d’un message dans le journal d’une machine : « Nov 19 14:22:16.062 MST : %SYS-6-CLOCKUPDATE : System clock has been updated from 14:22:16 MST Mon Nov 19 2012 to 14:22:16 MST Sun Nov 19 2000, configured from NTP by 192.5.41.40. » (l’adresse IP est celle de tick)

    Un court résumé par SANS : ►https://isc.sans.edu/diary.html?n&storyid=14548

    Le service NTP de l’USNO : ►http://www.usno.navy.mil/USNO/time/ntp

    Conséquences de la panne sur Windows et Active Directory : ►http://blogs.technet.com/b/askpfeplat/archive/2012/11/19/did-your-active-directory-domain-time-just-jump-to-the-year-2000.aspx

    La norme NTP : ►http://www.bortzmeyer.org/5905.html

    Il n’y a apparemment pas encore de communiqué officiel de l’USNO. Mais quelques bons conseils pour la prochaine fois : ayez plusieurs serveurs NTP, synchronisés à des sources différentes, et supervisez les automatiquement.

    #résilience_Internet

    Stéphane Bortzmeyer @stephane CC BY-SA
    • @rastapopoulos
      RastaPopoulos @rastapopoulos CC BY-NC 22/11/2012

      C’est marrant un serveur de la marine qui divaguent.

      RastaPopoulos @rastapopoulos CC BY-NC
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 22/11/2012

      Et une jolie citation de Robert Seastrom : « In my experience NTP beats out even DNS for “blatantly wrong configs in the wild that nevertheless seem to work well enough that dilettante tech folks don’t notice”. »

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 25/11/2012

      Le seul message officiel de l’USNO, mis sur ►http://tycho.usno.navy.mil/ntp.html : « USNO NTP FAILURE — 19 NOV 2012

      On Monday, November 19, USNO made what was expected to be a routine upgrade. Unfortunately, for 51 minutes, between 21:07:32 - 21:58:56 UTC, the server gave out the year as 2000 instead of 2012. We have resolved the issue that caused this error.

      We regret the disruptions that this may have caused. We strongly recommend that all NTP users configure their software to get time from three different sources at a minimum. Most software should be able to use the redundant data to identify and ignore incorrect time sources. You can find a list of other time sources at ►http://support.ntp.org/bin/view/Servers/WebHome. »

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 25/11/2012

      Plusieurs personnes m’ont fait remarquer que les implémentations de NTP (par exemple OpenNTP) ont une protection contre les changements trop brutaux de l’horloge (par exemple, ne jamais déplacer l’horloge de plus de 1000 secondes). Mais les témoignages sur des listes de diffusion comme Nanog ou Outages montrent que pas mal de gens ont quand même eu le problème. Soit ils avaient débrayé cette sécurité, soit ils avaient une implémentation qui n’avait pas cette proteection.

      Stéphane Bortzmeyer @stephane CC BY-SA
    • 26/11/2012

      Par défaut, sur un MacOSX, ntpd est utilisé avec l’option « -g » qui autorise le shift de plus de 1000s une seule fois.

    Écrire un commentaire

Thèmes liés

  • #ntp
  • #dos
  • #dns
  • #security
  • person: robert seastrom
  • #ntp
  • #time
  • #internet
  • #ddos
  • operatingsystem: dos
  • #debian
  • #formateur_ntp
  • technology: dns
  • #ddos
  • #résilience_internet
  • #heure
  • #usno
  • #synchronisation
  • #réseau