Seguridad sincronización de reloj en Linux bajo protocolo NTP

Iniciado por kub0x, 29 Diciembre 2019, 13:17 PM

0 Miembros y 1 Visitante están viendo este tema.

kub0x

Buenas.

hace ya años del ataque Delorean el cual permitía a un atacante experimentado hacer un "MITM" (Man in the middle) en la conexión del cliente con el servidor NTP, pudiendo asi cambiar la hora del cliente hacia el futuro o el pasado, haciendo que éste falle los handshakes TLS ya que los certificados aparecerían como expirados.

Resulta que mi PC, la cual corre ARCH LINUX con Xfce4 como Desktop tiene un problemilla, y es que el reloj está 7 minutos atrasado respecto a la hora real. Por lo tanto he activado el servicio "systemd-timesyncd" el cual utiliza SNTP el hermano pequeño de NTP. Se que en mi hogar no pasará nada ya que es un bunker, y el que entre golpe de remo ya sabeís.

Pero, por ejemplo en mi laptop si lo activo y me conecto a redes conjuntas (eduroam o Wifis abiertas) que peligros tendría?
¿Cómo es que todavía no han implementado la criptografía necesaria en NTP para al menos asegurar la autenticación con el servidor remoto?

Pues eso, ¿alguna solución segura para utilizar NTP y no ser engañado por un atacante malicioso el cual pueda adelantar o retrasar mi reloj?

Saludos.

Paper delorean: https://eprint.iacr.org/2015/1020.pdf
Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate


Songoku

Yo llevo años tanto en windows como en linux permitiendo la sincronización de la hora del reloj del sistema operativo y jamas e tenido problemas. Eso si yo uso un servidor que seguramente aquí nadie conocerá, me refiero a hora.roa.es
Uso este mismo servidor incluso en el router. Así que no seas tan paranoico hombre de dios.
Saludos...

Songoku

AlbertoBSD

Cita de: Songoku en 29 Diciembre 2019, 13:37 PM
Yo llevo años tanto en windows como en linux permitiendo la sincronización de la hora del reloj del sistema operativo y jamas e tenido problemas. Eso si yo uso un servidor que seguramente aquí nadie conocerá, me refiero a hora.roa.es
Uso este mismo servidor incluso en el router. Así que no seas tan paranoico hombre de dios.
Saludos...

Songoku


Concuerdo que no se deberia ser tan paranoico.

Aun asi si sigues con la idea de implementarlo por un canal seguro, se me ocurren 2 cosas

La primera es utilizando un tunnel SSH hacia un servidor que tenga un servidor NTP instalado, pero realmente no estoy seguro de como implementarlo con paquetes UDP

La segunda seria implementar lo mismo pero bajo una red VPN

Saludos!
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW