パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

NICT、http/httpsによる時刻配信を段階的に廃止することを決定。NTPに一元化へ」記事へのコメント

  • by Anonymous Coward on 2020年07月20日 17時00分 (#3855580)

    NTPは、HTTPSのように安全ではなく、なりすましが容易にできてしまいます。

    例えば、出社・退社の時刻を管理するタイムカードシステムがあって、そのコンピュータがNTPで時刻同期していたとします。

    同じLAN内からは、ARPスプーフィングというテクニックでNTPサーバを詐称することが簡単にできてしまい、
    偽のNTPサーバと同期させる → 出社登録する → ARPスプーフィングを止めてもとのNTPサーバと同期させる
    とすることにより、勤務時間を不正に改竄することができます。

    ログからバレて処分を受けるかもしれないのにタイムカード改竄なんて有り得ないって?
    だったら、気に入らない同僚を冤罪に陥れるために、同僚の登録前後で改竄するなんてことも有り得ます。

    DNS等も over HTTPS にしようというのが時代の流れなのに、今更脆弱なNTPに戻すなんてナンセンスです。

    • by ilonasive (6257) on 2020年07月20日 21時42分 (#3855761)

      OpenNTPDでは、あなたの指摘したような問題を解決するための仕組みが組込まれています。

      設定ファイルntpd.conf (抜粋)

      # use a random selection of NTP Pool Time Servers
      # see http://support.ntp.org/bin/view/Servers/NTPPoolServers
      servers pool.ntp.org
       
      # get the time constraint from a well-known HTTPS site
      constraint from "9.9.9.9"         # quad9 v4 without DNS
      constraint from "2620:fe::fe"     # quad9 v6 without DNS
      constraints from "www.google.com" # intentionally not 8.8.8.8

      OpenNTPDは設定ファイル中のconstraint行で指定されたウェブサーバと通信を行い、証明書の検証で使われるタイムスタンプを取得します。

      このタイムスタンプは精密なものである必要はありませんが、「検証された時刻」となっています。

      次に、servers行で指定されたサーバとNTPプロトコルで通信を行い、時刻の同期を取ろうとします。

      この時、NTPサーバが返してきたタイムスタンプがTLS通信で取得されたタイムスタンプと大きく異っている場合、そのNTPサーバは時刻の参照元としては採用されません。

      親コメント
    • by Anonymous Coward on 2020年07月20日 22時13分 (#3855787)

      NTPが危険って話は2015年ぐらいで大体終わっています。

      NTPの欠陥は2014年に沢山指摘されていて、それを受け2015年に NTP から NTPsec というプロジェクトがフォークしています。
      https://www.ntpsec.org/ [ntpsec.org]

      関連するRFCとしては、2014年にでたrfc7384が該当していて、ntpsec はこれを実装したものになっています。
      https://tools.ietf.org/html/rfc7384 [ietf.org]

      ntpsec はその後2016年に初版がリリースされ、今では多くのOSで標準パッケージになっています。

      ですから、なりすまし対策が必要なら、 ntpsec を使えばそれだけで解決です。少なくとも5年間の実績があります。
      いまさら over HTTPS なんて言い出すほうが、よっぽどナンセンスです。

      親コメント
      • by Anonymous Coward

        ntpsecって、どれくらい普及してるんですか。

    • Authenticationくらいありますよ、いくらなんでも(設定しているとは言ってない)
      親コメント
      • by Anonymous Coward

        一応あることにはあるけど、
        ・対応しているタイムカード専用機は少ない
        ・対応していてもMD5のみ
        というのが現状

        • by Anonymous Coward

          httpsに対応しているタイムカード専用機のほうが少ない気がします。

    • by Anonymous Coward

      何でslewモード使ってないの?

    • by Anonymous Coward

      NTPはそんなに頻繁に時刻調整するものではないし、ログからバレて処分されるのはタイムカード改ざんに対してではなくARPスプーフィングによるNTPサーバーへの攻撃に対してでしょう。

      • by Anonymous Coward

        ARPスプーフィングを誰がやったかなんて特定は事実上不可能ですよ
        特に鞄の中に入れたWi-Fi端末(無論MACアドレスは詐称)からやったら防犯カメラにも何も映らないしね

        • by Anonymous Coward

          勝手端末を社内LANにつなげられる時点で脆弱。
          さらにその設定ではARPスプーフィングを止めることができない。

    • by Anonymous Coward

      arp が問題なんだから、IPv6 にして NTP 使えばいい。

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

処理中...