Powered by Blogger.

การลดผลกระทบของ DDoS attack จากพอร์ต NTP

       การอ้างอิงเวลาของระบบเน็ตเวิร์ค เป็นสิ่งสำคัญระดับต้น ๆ ของหน่วยงาน ที่เกี่ยวกับโครงสร้าง สาธารณูปโภคพื้นฐาน (Critical Infrastructure) เช่น ระบบสื่อสาร ระบบคมนาคม พลังงาน สถาบันการเงิน โดยทั่วไปวิศวกรและผู้ดูแลระบบมักจะมองข้ามความสำคัญของการอ้างอิงเวลามาตรฐาน และรับเวลาอ้างอิงจาก NTP server สาธารณะ ซึ่งการรับเวลา NTP ผ่านอินเตอร์เน็ต ก็สามารถใช้งานได้ดีในระดับหนึ่ง สำหรับการใช้งานพื้นฐานตามบ้านเรือนทั่วไป แต่สำหรับหน่วยงานแล้ว การรับเวลา NTP ผ่านอินเตอร์เน็ต เป็นช่องโหว่ที่สำคัญจุดหนึ่งในการเข้าโจมตีจากผู้ไม่ประสงค์ดี เช่น hacker

จากข้อมูลรายงานความปลอดภัยของอินเตอร์เน็ต (Internet Security report) ของ Akamai เมื่อปี 2018 พบว่า การรับเวลา NTP ผ่านอินเตอร์เน็ต มีความเสี่ยงสูงเป็นอันดับที่สอง จากการถูกโจมตีด้วย DDoS attack โดยพบว่าภายในระยะเวลา 1 ปี มีการโจมตีเพิ่มขึ้นสูงถึง 16% 

ภาพที่ 1 แสดงตัวอย่าง โครงสร้างของระบบเน็ตเวิร์คที่รับเวลา NTP ผ่านอินเตอร์เน็ต โดยทั่วไป

ระบบตามแผนภาพด้านบน การรับเวลา NTP ของระบบเน็ตเวิร์คภายในองค์กร จะไปรับเวลามาจากกลุ่มของ NTP server pool จำนวนหลาย ๆ เครื่อง โดยเครื่องคอมพิวเตอร์ server ภายในจะมีขั้นตอนกระบวนการ ออกไปซิงค์เวลาอ้างอิงจาก NTP ภายนอกผ่าน Firewall ซึ่งการเปิดพอร์ต Firewall ดังกล่าวนี่เอง เป็นช่องโหว่ให้บรรดา hacker สามารถผ่านเข้ามาโจมตีระบบเน็ตเวิร์คภายในทั้งหมดได้ และถึงแม้ว่าจะใช้งาน Firewall ร่วมกับระบบป้องกันความปลอดภัยอื่น ๆ เช่น IDS (Internet Detection System) หรือ IPS (Internet Prevention System) ตราบใดก็ตาม ที่ยังมีการเปิดพอร์ต ก็จะมีช่องทางให้ผู้ไม่หวังดีเข้ามายังภายในได้

นอกจากนั้นคุณภาพของเวลาอ้างอิงที่ได้ ยังมีคุณสมบัติความเที่ยงตรงและความแม่นยำที่ไม่สูงนัก เนื่องจากกระบวนการซิงค์ NTP จากอินเตอร์เน็ตซึ่งต้องผ่านช่องทางสาธารณะ (public network) ค่าความผันแปรของ network latency และค่าผันแปรอื่น ๆ ไม่คงที่ โดยจะแปรเปลี่ยนไปตาม traffic ในแต่ละช่วงเวลา ดังนั้นเวลาที่ได้รับ จะมีโอกาสคลาดเคลื่อนไปจากเวลามาตรฐานได้

การที่จะลดความเสี่ยงของการถูกโจมตีด้วย DDoS จากพอร์ต NTP จะสามารถทำได้ด้วยการ ปิดพอร์ตการใช้งาน NTP จากอินเตอร์เน็ต 

ภาพที่ 2 แผนภาพการติดตั้ง NTP ของตัวเอง สำหรับโครงข่ายที่มีความมั่นคงปลอดภัย (Resilient Network)


การติดตั้ง NTP ภายในโครงข่ายของตัวเอง จะไม่ต้องไปพึ่งพิงการรับเวลาจากภายนอก ซึ่ง NTP server จะรับสัญญาณเวลาอ้างอิงมาตรฐาน จากระบบดาวเทียม GNSS ซึ่งจะมีค่าเวลามาตรฐาน ที่ถูกต้องแม่นยำสูงมาก โดยมีค่า accuracy ที่ดีในระดับถึง nano-second ทีเดียว และเมื่อจ่ายเวลาผ่าน NTP ให้กับเน็ตเวิร์คภายใน ก็สามารถรับประกันได้ว่า ค่าความแม่นยำที่ได้รับ จะอยู่ในระดับ Stratum 1 ตามมาตรฐาน หรือถ้ามีการใช้งานผ่านโปรโตคอลอื่นที่ดีขึ้น เช่น PTP การรับเวลาก็จะได้ความถูกต้องแม่นยำของเวลา ในระดับ micro-second


ข้อดีอื่น ๆ ของการติดตั้ง NTP ภายในหน่วยงานตัวเอง จะมีอีก ได้แก่

1. ความมั่นคงปลอดภัย (Resiliency) NTP ของ Orolia รุ่น SecureSync สามารถรองรับสัญญาณ GNSS หลากหลายชนิด ได้แก่ GPS  GLONASS  Galileo  BeiDou  QZSS และนอกจากนั้นภายในเครื่อง ยังมีวงจรสังเคราะห์ความถี่ภายใน (Oscillator) ที่มีความแม่นยำสูง ในกรณีที่ NTP ไม่สามารถรับสัญญาณดาวเทียม GNSS ได้ เครื่องก็จะทำงานในแบบของ Holdover คือใช้เวลาจาก Oscillator ภายในเครื่องเป็นฐานเวลาแทนสัญญาณดาวเทียม



จากตาราง ถ้าเลือก Oscillator ชนิด OCXO ค่าความคลาดเคลื่อนของเวลา เมื่อเครื่อง NTP ขาดการรับสัญญาณดาวเทียมผ่านไปแล้ว 24 ชั่วโมง ความผิดพลาดของเวลา ยังมีค่าไม่เกิน 25 micro-second ซึ่งดีกว่าการไปรับเวลาจาก Stratum 2 มากหลายเท่านัก

 

2. ความปลอดภัยของ สัญญาณดาวเทียม (RF Signal Security) NTP ของ Orolia รุ่น SecureSync มีคุณสมบัติที่สามารถติดตั้งเพิ่มเติม ระบบระวังป้องกันภัยจาก การรบกวนสัญญาณดาวเทียม GNSS Jamming และสัญญาณปลอม Spoofing โดยสามารถเลือกซื้อ Option Anti Jamming & Spoofing ได้ เพื่อเป็นการรับประกันว่า ระบบเวลาของ NTP จะมีความถูกต้องแม่นยำ ใช้งานได้ต่อเนื่องโดยปราศจากการล้มเหลว

รายละเอียดของ Jamming & Spoofing สามารถอ่านเพิ่มเติมได้จาก 

https://netsyncforum.blogspot.com/2018/08/gnss-jamming-and-spoofing.html


3. สัญญาณเวลา และความถี่มาตรฐานอื่น ๆ นอกจากจะมีการจ่ายเวลามาตรฐาน NTP แล้ว NTP ของ Orolia รุ่น SecureSync ยังรองรับการจ่ายเวลาผ่านโปรโตคอล PTP โดยจ่ายเวลาอ้างอิงมาตรฐานความแม่นยำระดับ nano-second สามารถจ่ายเวลาแบบ IRIG โดยจ่ายเวลาผ่าน serial interface หรือ coaxial cable และในส่วนของความถี่มาตรฐาน เครื่องก็รองรับการจ่ายสัญญาณ 1PPS และ 10MHz ด้วย 

การติดตั้ง NTP server ภายในหน่วยงานของตนเอง จึงเป็นการสร้างความปลอดภัยให้กับเน็ตเวิร์ค และยังจะได้ความแม่นยำของเวลามาตรฐานภายในโครงข่ายถูกต้องตรงตามข้อกำหนด

ต้นฉบับของบทความนี้ แปลและรวบรวมมาจากลิงค์ต่อไปนี้

https://www.orolia.com/mitigating-an-ntp-distributed-denial-of-service-ddos-attack/


บริษัท NetSync (Thailand) Limited มีความยินดีที่จะให้คำปรึกษาเรื่องระบบ Master Clock, NTP Server, Time & Frequency system


ติดต่อ คุณยุทธนา  Tel: 089-136 6399

info@netsync.co.th    

yutthana@netsync.co.th




Read more

GPS Repeater

GPS Repeater มีความสำคัญอย่างไร วันนี้เราจะมาอธิบายกัน 

สัญญาณ GPS หรือ GNSS เป็นสัญญาณจากระบบดาวเทียม สำหรับการใช้ในเรื่องของการบอกพิกัด การนำทาง และสัญญาณอ้างอิงเวลามาตรฐาน โดยปกติสัญญาณ GNSS จะต้องการการรับสัญญาณ ในลักษณะของ Line of Sight คือตัวสายอากาศ จะต้องรับสัญญาณโดยตรงจากท้องฟ้า ไม่มีสิ่งบดบังใด ๆ 

โดยสิ่งบดบังที่มีผลที่จะบล็อกสัญญาณ GNSS ได้ จะเป็นวัสดุที่มีมวลหนาแน่น เช่น โลหะ ซีเมนต์ คอนกรีต ดังนั้นโดยทั่วไป เราจะเห็นว่าตำแหน่งติดตั้งสายอากาศ GNSS antenna มักจะเป็นที่โล่ง ที่ไม่อยู่ภายใต้หลังคาหรือชายคา


ในบางครั้งที่เราต้องการรับสัญญาณ GNSS เพื่อทดสอบอุปกรณ์ต่าง ๆ เช่นการทดสอบ GNSS receiver ในห้องทดลอง ซึ่งตัวรับสัญญาณ อยู่ภายในอาคาร หรืออยู่ในห้องควบคุม เราจะต้องหาวิธีการ ที่จะนำสัญญาณดาวเทียมของจริง ณ เวลาปัจจุบัน (Live GNSS Signal) ให้สามารถมาแพร่สัญญาณ ภายในอาคาร ความต้องการดังกล่าวจึงเป็นที่มาของการนำระบบ GPS repeater มาประยุกต์ใช้งาน



ภาพตัวอย่างจาก www.gpssource.com/ การใช้งาน GPS repeater สำหรับโรงซ่อมบำรุงรักษาอากาศยาน และยานพาหนะ

ซึ่งโดยปกติโรงซ่อมบำรุง จะเป็นบริเวณปิด เพื่อป้องกันสภาพอากาศให้เหมาะสมในการปฏิบัติงาน ลองคิดดูว่าถ้าหากเราไม่สามารถนำสัญญาณดาวเทียมของจริง เข้ามาทดสอบได้ ทุกครั้งที่เราต้องการทดสอบ เราจะต้องเคลื่อนย้าย อากาศยาน และยานพาหนะจริง ออกจากโรงซ่อมเพื่อไปรับสัญญาณดาวเทียม ย้ายออกย้ายเข้า

 

โดยระบบ GPS repeater จะประกอบไปด้วยอุปกรณ์ดังต่อไปนี้



  1. สายอากาศรับสัญญาณ ติดตั้งภายนอก 
  2. สายนำสัญญาณ 
  3. ตัวแพร่กระจายสัญญาณ GPS repeater


ภาพแสดงตัวอย่าง การรับสัญญาณ GPS ภายในห้องทดลอง ที่ได้ติดตั้ง GPS repeater 

เมื่อมีการติดตั้ง GPS repeater และทำการปรับแต่งความแรงของสัญญาณ GPS repeater จะทำการแพร่สัญญาณ GPS / GNSS ภายในบริเวณ ที่ต้องการทดสอบสัญญาณ โดยสัญญาณที่ได้รับ จะเป็นสัญญาณเสมือนจริง ทั้งคุณภาพสัญญาณ และระดับความแรงของสัญญาณดาวเทียม เหมือนกับว่าเราได้นำ GPS receiver ออกไปรับสัญญาณดาวเทียมจริง ในที่โล่งเห็นท้องฟ้า

โดยบริษัท ได้มีการติดตั้งระบบ GPS repeater ให้กับหน่วยงาน ทั้งภาครัฐ และเอกชน ที่สำคัญหลายแห่งทั้งในหน่วยงานที่เกี่ยวกับการพัฒนาออกแบบอุปกรณ์ และโรงงานผู้ผลิตตัวรับสัญญาณ GNSS เพื่อใช้งานกับผู้ประกอบรถยนต์รายใหญ่ในประเทศ 

การติดตั้งที่ผ่านมา เราใช้อุปกรณ์จาก GPS Source ประเทศสหรัฐอเมริกา ซึ่งเป็นผู้ผลิตและออกแบบระบบ GPS repeater เป็นรายแรกของโลก และปัจจุบัน GPS Source เป็นอันดับ 1 ในอุตสาหกรรมนี้


ตัวอย่างรุ่นของระบบ GPS repeater

https://www.gpssource.com/collections/repeater-assemblies/products/gpsrkl1-l1-gps-repeater-assembly


ซึ่งการใช้งานระบบ GPS repeater จะใช้งานหลักเพื่อทดสอบการรับสัญญาณดาวเทียม ของ GNSS receiver แต่จะไม่สามารถทดสอบในลักษณะงานที่เกี่ยวข้องกับการเคลื่อนที่ได้ เนื่องจากสายอากาศรับสัญญาณภายนอกติดตั้งอยู่กับที่ บริเวณดาดฟ้า ไม่ได้มีการเคลื่อนไหว

โดยการออกแบบของบริษัท จะมีการคำนวณคุณลักษณะสำคัญ ทั้งหมดที่เกี่ยวข้องกับการใช้งานเพื่อให้ได้ค่าสัญญาณแพร่ออกจาก GPS repeater ให้อยู่ในระดับที่เท่ากันการรับสัญญาณจากท้องฟ้าจริง โดยคำนวณ Link Budget Calculation จากอุปกรณ์ทุกตัวในระบบ ความยาวสายสัญญาณ และ ความลดทอนสัญญาณจาก Free Space Path Loss มาคำนวณ

ลูกค้าท่านใด มีความต้องการติดตั้งระบบ GPS repeater เพื่อทดสอบ GNSS receiver สามารถติดต่อบริษัท เรามีวิศวกรออกแบบ และสามารถตอบคำถามให้ความมั่นใจได้ว่า ระบบ GNSS repeater ที่ท่านจะได้รับ จะมีประสิทธิภาพใช้งานได้อย่างสมบูรณ์

ติดต่อ
คุณยุทธนา Tel: 089-136 6399

info@netsync.co.th

yutthana@netsync.co.th


Read more