การอ้างอิงเวลาของระบบเน็ตเวิร์ค เป็นสิ่งสำคัญระดับต้น ๆ ของหน่วยงาน ที่เกี่ยวกับโครงสร้าง สาธารณูปโภคพื้นฐาน (Critical Infrastructure) เช่น ระบบสื่อสาร ระบบคมนาคม พลังงาน สถาบันการเงิน โดยทั่วไปวิศวกรและผู้ดูแลระบบมักจะมองข้ามความสำคัญของการอ้างอิงเวลามาตรฐาน และรับเวลาอ้างอิงจาก NTP server สาธารณะ ซึ่งการรับเวลา NTP ผ่านอินเตอร์เน็ต ก็สามารถใช้งานได้ดีในระดับหนึ่ง สำหรับการใช้งานพื้นฐานตามบ้านเรือนทั่วไป แต่สำหรับหน่วยงานแล้ว การรับเวลา NTP ผ่านอินเตอร์เน็ต เป็นช่องโหว่ที่สำคัญจุดหนึ่งในการเข้าโจมตีจากผู้ไม่ประสงค์ดี เช่น hacker

จากข้อมูลรายงานความปลอดภัยของอินเตอร์เน็ต (Internet Security report) ของ Akamai เมื่อปี 2018 พบว่า การรับเวลา NTP ผ่านอินเตอร์เน็ต มีความเสี่ยงสูงเป็นอันดับที่สอง จากการถูกโจมตีด้วย DDoS attack โดยพบว่าภายในระยะเวลา 1 ปี มีการโจมตีเพิ่มขึ้นสูงถึง 16% 

ภาพที่ 1 แสดงตัวอย่าง โครงสร้างของระบบเน็ตเวิร์คที่รับเวลา NTP ผ่านอินเตอร์เน็ต โดยทั่วไป

ระบบตามแผนภาพด้านบน การรับเวลา NTP ของระบบเน็ตเวิร์คภายในองค์กร จะไปรับเวลามาจากกลุ่มของ NTP server pool จำนวนหลาย ๆ เครื่อง โดยเครื่องคอมพิวเตอร์ server ภายในจะมีขั้นตอนกระบวนการ ออกไปซิงค์เวลาอ้างอิงจาก NTP ภายนอกผ่าน Firewall ซึ่งการเปิดพอร์ต Firewall ดังกล่าวนี่เอง เป็นช่องโหว่ให้บรรดา hacker สามารถผ่านเข้ามาโจมตีระบบเน็ตเวิร์คภายในทั้งหมดได้ และถึงแม้ว่าจะใช้งาน Firewall ร่วมกับระบบป้องกันความปลอดภัยอื่น ๆ เช่น IDS (Internet Detection System) หรือ IPS (Internet Prevention System) ตราบใดก็ตาม ที่ยังมีการเปิดพอร์ต ก็จะมีช่องทางให้ผู้ไม่หวังดีเข้ามายังภายในได้

นอกจากนั้นคุณภาพของเวลาอ้างอิงที่ได้ ยังมีคุณสมบัติความเที่ยงตรงและความแม่นยำที่ไม่สูงนัก เนื่องจากกระบวนการซิงค์ NTP จากอินเตอร์เน็ตซึ่งต้องผ่านช่องทางสาธารณะ (public network) ค่าความผันแปรของ network latency และค่าผันแปรอื่น ๆ ไม่คงที่ โดยจะแปรเปลี่ยนไปตาม traffic ในแต่ละช่วงเวลา ดังนั้นเวลาที่ได้รับ จะมีโอกาสคลาดเคลื่อนไปจากเวลามาตรฐานได้

การที่จะลดความเสี่ยงของการถูกโจมตีด้วย DDoS จากพอร์ต NTP จะสามารถทำได้ด้วยการ ปิดพอร์ตการใช้งาน NTP จากอินเตอร์เน็ต 

ภาพที่ 2 แผนภาพการติดตั้ง NTP ของตัวเอง สำหรับโครงข่ายที่มีความมั่นคงปลอดภัย (Resilient Network)

การติดตั้ง NTP ภายในโครงข่ายของตัวเอง จะไม่ต้องไปพึ่งพิงการรับเวลาจากภายนอก ซึ่ง NTP server จะรับสัญญาณเวลาอ้างอิงมาตรฐาน จากระบบดาวเทียม GNSS ซึ่งจะมีค่าเวลามาตรฐาน ที่ถูกต้องแม่นยำสูงมาก โดยมีค่า accuracy ที่ดีในระดับถึง nano-second ทีเดียว และเมื่อจ่ายเวลาผ่าน NTP ให้กับเน็ตเวิร์คภายใน ก็สามารถรับประกันได้ว่า ค่าความแม่นยำที่ได้รับ จะอยู่ในระดับ Stratum 1 ตามมาตรฐาน หรือถ้ามีการใช้งานผ่านโปรโตคอลอื่นที่ดีขึ้น เช่น PTP การรับเวลาก็จะได้ความถูกต้องแม่นยำของเวลา ในระดับ micro-second

ข้อดีอื่น ๆ ของการติดตั้ง NTP ภายในหน่วยงานตัวเอง จะมีอีก ได้แก่

1. ความมั่นคงปลอดภัย (Resiliency) NTP ของ Orolia รุ่น SecureSync สามารถรองรับสัญญาณ GNSS หลากหลายชนิด ได้แก่ GPS  GLONASS  Galileo  BeiDou  QZSS และนอกจากนั้นภายในเครื่อง ยังมีวงจรสังเคราะห์ความถี่ภายใน (Oscillator) ที่มีความแม่นยำสูง ในกรณีที่ NTP ไม่สามารถรับสัญญาณดาวเทียม GNSS ได้ เครื่องก็จะทำงานในแบบของ Holdover คือใช้เวลาจาก Oscillator ภายในเครื่องเป็นฐานเวลาแทนสัญญาณดาวเทียม

จากตาราง ถ้าเลือก Oscillator ชนิด OCXO ค่าความคลาดเคลื่อนของเวลา เมื่อเครื่อง NTP ขาดการรับสัญญาณดาวเทียมผ่านไปแล้ว 24 ชั่วโมง ความผิดพลาดของเวลา ยังมีค่าไม่เกิน 25 micro-second ซึ่งดีกว่าการไปรับเวลาจาก Stratum 2 มากหลายเท่านัก

 

2. ความปลอดภัยของ สัญญาณดาวเทียม (RF Signal Security) NTP ของ Orolia รุ่น SecureSync มีคุณสมบัติที่สามารถติดตั้งเพิ่มเติม ระบบระวังป้องกันภัยจาก การรบกวนสัญญาณดาวเทียม GNSS Jamming และสัญญาณปลอม Spoofing โดยสามารถเลือกซื้อ Option Anti Jamming & Spoofing ได้ เพื่อเป็นการรับประกันว่า ระบบเวลาของ NTP จะมีความถูกต้องแม่นยำ ใช้งานได้ต่อเนื่องโดยปราศจากการล้มเหลว

รายละเอียดของ Jamming & Spoofing สามารถอ่านเพิ่มเติมได้จาก 

https://netsyncforum.blogspot.com/2018/08/gnss-jamming-and-spoofing.html

3. สัญญาณเวลา และความถี่มาตรฐานอื่น ๆ นอกจากจะมีการจ่ายเวลามาตรฐาน NTP แล้ว NTP ของ Orolia รุ่น SecureSync ยังรองรับการจ่ายเวลาผ่านโปรโตคอล PTP โดยจ่ายเวลาอ้างอิงมาตรฐานความแม่นยำระดับ nano-second สามารถจ่ายเวลาแบบ IRIG โดยจ่ายเวลาผ่าน serial interface หรือ coaxial cable และในส่วนของความถี่มาตรฐาน เครื่องก็รองรับการจ่ายสัญญาณ 1PPS และ 10MHz ด้วย 

การติดตั้ง NTP server ภายในหน่วยงานของตนเอง จึงเป็นการสร้างความปลอดภัยให้กับเน็ตเวิร์ค และยังจะได้ความแม่นยำของเวลามาตรฐานภายในโครงข่ายถูกต้องตรงตามข้อกำหนด

ต้นฉบับของบทความนี้ แปลและรวบรวมมาจากลิงค์ต่อไปนี้

https://www.orolia.com/mitigating-an-ntp-distributed-denial-of-service-ddos-attack/

บริษัท NetSync (Thailand) Limited มีความยินดีที่จะให้คำปรึกษาเรื่องระบบ Master Clock, NTP Server, Time & Frequency system

ติดต่อ คุณยุทธนา  Tel: 089-136 6399

info@netsync.co.th    

yutthana@netsync.co.th

GPS Repeater มีความสำคัญอย่างไร วันนี้เราจะมาอธิบายกัน 

สัญญาณ GPS หรือ GNSS เป็นสัญญาณจากระบบดาวเทียม สำหรับการใช้ในเรื่องของการบอกพิกัด การนำทาง และสัญญาณอ้างอิงเวลามาตรฐาน โดยปกติสัญญาณ GNSS จะต้องการการรับสัญญาณ ในลักษณะของ Line of Sight คือตัวสายอากาศ จะต้องรับสัญญาณโดยตรงจากท้องฟ้า ไม่มีสิ่งบดบังใด ๆ 

โดยสิ่งบดบังที่มีผลที่จะบล็อกสัญญาณ GNSS ได้ จะเป็นวัสดุที่มีมวลหนาแน่น เช่น โลหะ ซีเมนต์ คอนกรีต ดังนั้นโดยทั่วไป เราจะเห็นว่าตำแหน่งติดตั้งสายอากาศ GNSS antenna มักจะเป็นที่โล่ง ที่ไม่อยู่ภายใต้หลังคาหรือชายคา

1. สายอากาศรับสัญญาณ ติดตั้งภายนอก 
2. สายนำสัญญาณ 
3. ตัวแพร่กระจายสัญญาณ GPS repeater

ภาพแสดงตัวอย่าง การรับสัญญาณ GPS ภายในห้องทดลอง ที่ได้ติดตั้ง GPS repeater 

เมื่อมีการติดตั้ง GPS repeater และทำการปรับแต่งความแรงของสัญญาณ GPS repeater จะทำการแพร่สัญญาณ GPS / GNSS ภายในบริเวณ ที่ต้องการทดสอบสัญญาณ โดยสัญญาณที่ได้รับ จะเป็นสัญญาณเสมือนจริง ทั้งคุณภาพสัญญาณ และระดับความแรงของสัญญาณดาวเทียม เหมือนกับว่าเราได้นำ GPS receiver ออกไปรับสัญญาณดาวเทียมจริง ในที่โล่งเห็นท้องฟ้า

โดยบริษัท ได้มีการติดตั้งระบบ GPS repeater ให้กับหน่วยงาน ทั้งภาครัฐ และเอกชน ที่สำคัญหลายแห่งทั้งในหน่วยงานที่เกี่ยวกับการพัฒนาออกแบบอุปกรณ์ และโรงงานผู้ผลิตตัวรับสัญญาณ GNSS เพื่อใช้งานกับผู้ประกอบรถยนต์รายใหญ่ในประเทศ 

การติดตั้งที่ผ่านมา เราใช้อุปกรณ์จาก GPS Source ประเทศสหรัฐอเมริกา ซึ่งเป็นผู้ผลิตและออกแบบระบบ GPS repeater เป็นรายแรกของโลก และปัจจุบัน GPS Source เป็นอันดับ 1 ในอุตสาหกรรมนี้

ตัวอย่างรุ่นของระบบ GPS repeater