Д Е К А Б Р Ь 2016 №4 (12)

97

критически важные для контрольного

следа, необходимого для любой кибер-

программы судебной экспертизы. Та-

ким образом, синхронизация нередко

является обязательным требованием

для стандартов сетевой безопасно-

сти, таких как стандарты безопасности

данных индустрии платежных систем.

К примеру, раздел 10.4 стандарта PCI

DSS требует прослеживаемого источ-

ника времени для синхронизации сис-

тем электронной коммерции.

В настоящей статье кратко

рассматриваются различия меж-

ду источниками времени (внешне-

го и внутреннего) с точки зрения

отслеживаемости при развертыва-

нии сети протокола сетевого времени

(NTP).

NTP через Интернет увеличивает

отклонение синхронизации

В современных сетевых инфра-

структурах большое внимание уделя-

ется обеспечению надежности сети,

высокой доступности и, прежде все-

го, безопасности. Кибербезопасность

стала критической областью во всех

сферах Интернета. На ее обеспечение

компании ежегодно тратят миллионы.

Тем не менее до сих пор встречаются

упущенные из виду области, в которых

безопасность находится не на долж-

ном уровне. Одним из примеров такой

области является время.

Как бы это странно ни звучало,

время играет решающую роль в син-

хронизации основной деятельнос-

ти бизнеса и сетевых систем. Время

поддерживает протоколы аутенти-

фикации, а также точные лог-файлы,

Ведущий рубрики

Максим Писковацков,

руководитель направления

измерительного оборудования

общего назначения

mvp@dipaul.ru

Отравление NTP-сервера

через DNS — повреждение

целостности данных в системе

DNS путем заполнения кэша

DNS-сервера данными, не

исходящими от авторитетного

DNS-источника. Подобная

компрометация данных

может быть результатом

хакерской атаки на сервер

имен или неожиданным

результатом ошибки

в конфигурировании

DNS-кэша.

NTP является популярным сетевым протоколом, предназначенным для синхро-

низации локальной системы с сервером времени. Серверы времени NTP широко

доступны в Интернете. Однако не будет лишним все внимательно проверить, если

для решения ваших задач используется интернет-сервер. Даже у интернет-серверов

времени, управляемых государством, таких как НИСТ или американская военно-мор-

ская обсерватория, которые базируются на высокоточных атомных часах, существует

множество факторов, влияющих на прослеживаемость. По высказыванию ресурса

ntp.org: «Если организация или человеческая жизнь зависят от наличия правильного

времени или могут пострадать от его неверного значения, то вам не следует «просто

брать время из Интернета».

Одной из проблем синхронизации времени является изменчивость состояния

сети. Нагрузка сети, множество маршрутов и настройки брандмауэра могут повлиять

на качество времени локальной системы. Для иллюстрации этого эффекта можно вос-

пользоваться функцией мониторинга качества времени сервера VelaSyncТМ произво-

дителя Spectracom. Он имеет встроенный GPS-приемник, который выступает в каче-

стве эталона c точностью до десятков наносекунд. NTP используется для сравнения

его с другим GPS-сервером времени в локальной сети. Смещение составляет около

15–20 мс (рис. 1).

Сервер времени VelaSync

ТМ

был также подключен к нескольким из наиболее попу-

лярных серверов времени в Интернете. В результате смещение, как показано на рис. 2,

достигло десятков миллисекунд, что в 1000 раз хуже, чем NTP в локальной сети. Если

мы предполагаем, что все временные серверы являются точными, то различие проис-

ходит только из-за большей задержки в пути и других динамических условий.

Этого различия достаточно, чтобы подвергнуть сомнению прослеживаемость вре-

мени из Интернета.