Portar

Port 123: NTP

Tidssynkronisering. Små paket, stor inverkan på säkerhet och tillförlitlighet.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

UDP port 123 används av NTP, tidssynkroniseringsprotokollet. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd.

En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar. Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda.

Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket. NTP är vanligtvis UDP eftersom meddelandena är små och periodiska.

En klient skickar en begäran från en tillfällig källport till en server på destinationsport 123, och servern svarar med tidsstämplar som låter klienten uppskatta klockförskjutning och nätverksfördröjning. Klienten justerar sedan sin klocka gradvis och upprepar processen, ibland med flera servrar för att förbättra noggrannheten och motståndskraften.

Tid är ett säkerhetsberoende: certifikat, loggar, Kerberos och incidenttidslinjer antar alla att klockorna är nära verkligheten. Exponerad eller felkonfigurerad NTP kan också missbrukas för reflektion och förstärkningsattacker, och angripare kan försöka flytta tiden för att bryta validering eller förvirra logganalys, vilket är anledningen till att åtkomstkontroller och autentiserade lägen är relevanta.

Hur det fungerar i stora drag

  1. Klienten skickar en tidsförfrågan till en NTP-server, vanligtvis med ett litet UDP-paket.
  2. Serversvar med tidsstämplar som låter klienten uppskatta offset och nätverksfördröjning.
  3. Klienten disciplinerar sin klocka gradvis, upprepar sedan regelbundet och kan konsultera flera servrar.

Konkret exempel

Under en skanning ser du loggtidsstämplar ur funktion. Grundorsaken är en misslyckad NTP-synkronisering på en server, varför tidskontroller är lika viktiga som CPU- eller diskkontroller.

Varför det är viktigt

Tidsdrift orsakar förvirrande loggar och trasig säkerhet. Kerberos, TLS och många API-autentiseringsscheman antar att klockorna är nära. NTP missbrukas också vid reflektionsattacker, så att exponera öppen NTP för internet kan skapa risker.

Säkerhetsperspektiv

  • Begränsa vem som kan fråga dina NTP-servrar och föredra autentiserad NTP eller säkra tidskällor där stöds.
  • Använd flera uppströmskällor och övervaka offset och stratums hälsa.
  • Validera tidssynkronisering för kritiska autentiseringssystem som domänkontrollanter.

Vanliga fallgropar

  • Tillåter offentliga NTP-servrar utan hastighetsbegränsning, vilket möjliggör missbruk av förstärkning.
  • Pekar många klienter till en enda ömtålig server, vilket skapar en enda felpunkt.
  • Förutsatt att tiden är korrekt även när virtuella maskiner är avstängda eller nätverkspartitioner.