Powered by Blogger.

การลดผลกระทบของ DDoS attack จากพอร์ต NTP

       การอ้างอิงเวลาของระบบเน็ตเวิร์ค เป็นสิ่งสำคัญระดับต้น ๆ ของหน่วยงาน ที่เกี่ยวกับโครงสร้าง สาธารณูปโภคพื้นฐาน (Critical Infrastructure) เช่น ระบบสื่อสาร ระบบคมนาคม พลังงาน สถาบันการเงิน โดยทั่วไปวิศวกรและผู้ดูแลระบบมักจะมองข้ามความสำคัญของการอ้างอิงเวลามาตรฐาน และรับเวลาอ้างอิงจาก NTP server สาธารณะ ซึ่งการรับเวลา NTP ผ่านอินเตอร์เน็ต ก็สามารถใช้งานได้ดีในระดับหนึ่ง สำหรับการใช้งานพื้นฐานตามบ้านเรือนทั่วไป แต่สำหรับหน่วยงานแล้ว การรับเวลา NTP ผ่านอินเตอร์เน็ต เป็นช่องโหว่ที่สำคัญจุดหนึ่งในการเข้าโจมตีจากผู้ไม่ประสงค์ดี เช่น hacker

จากข้อมูลรายงานความปลอดภัยของอินเตอร์เน็ต (Internet Security report) ของ Akamai เมื่อปี 2018 พบว่า การรับเวลา NTP ผ่านอินเตอร์เน็ต มีความเสี่ยงสูงเป็นอันดับที่สอง จากการถูกโจมตีด้วย DDoS attack โดยพบว่าภายในระยะเวลา 1 ปี มีการโจมตีเพิ่มขึ้นสูงถึง 16% 

ภาพที่ 1 แสดงตัวอย่าง โครงสร้างของระบบเน็ตเวิร์คที่รับเวลา NTP ผ่านอินเตอร์เน็ต โดยทั่วไป

ระบบตามแผนภาพด้านบน การรับเวลา NTP ของระบบเน็ตเวิร์คภายในองค์กร จะไปรับเวลามาจากกลุ่มของ NTP server pool จำนวนหลาย ๆ เครื่อง โดยเครื่องคอมพิวเตอร์ server ภายในจะมีขั้นตอนกระบวนการ ออกไปซิงค์เวลาอ้างอิงจาก NTP ภายนอกผ่าน Firewall ซึ่งการเปิดพอร์ต Firewall ดังกล่าวนี่เอง เป็นช่องโหว่ให้บรรดา hacker สามารถผ่านเข้ามาโจมตีระบบเน็ตเวิร์คภายในทั้งหมดได้ และถึงแม้ว่าจะใช้งาน Firewall ร่วมกับระบบป้องกันความปลอดภัยอื่น ๆ เช่น IDS (Internet Detection System) หรือ IPS (Internet Prevention System) ตราบใดก็ตาม ที่ยังมีการเปิดพอร์ต ก็จะมีช่องทางให้ผู้ไม่หวังดีเข้ามายังภายในได้

นอกจากนั้นคุณภาพของเวลาอ้างอิงที่ได้ ยังมีคุณสมบัติความเที่ยงตรงและความแม่นยำที่ไม่สูงนัก เนื่องจากกระบวนการซิงค์ NTP จากอินเตอร์เน็ตซึ่งต้องผ่านช่องทางสาธารณะ (public network) ค่าความผันแปรของ network latency และค่าผันแปรอื่น ๆ ไม่คงที่ โดยจะแปรเปลี่ยนไปตาม traffic ในแต่ละช่วงเวลา ดังนั้นเวลาที่ได้รับ จะมีโอกาสคลาดเคลื่อนไปจากเวลามาตรฐานได้

การที่จะลดความเสี่ยงของการถูกโจมตีด้วย DDoS จากพอร์ต NTP จะสามารถทำได้ด้วยการ ปิดพอร์ตการใช้งาน NTP จากอินเตอร์เน็ต 

ภาพที่ 2 แผนภาพการติดตั้ง NTP ของตัวเอง สำหรับโครงข่ายที่มีความมั่นคงปลอดภัย (Resilient Network)


การติดตั้ง NTP ภายในโครงข่ายของตัวเอง จะไม่ต้องไปพึ่งพิงการรับเวลาจากภายนอก ซึ่ง NTP server จะรับสัญญาณเวลาอ้างอิงมาตรฐาน จากระบบดาวเทียม GNSS ซึ่งจะมีค่าเวลามาตรฐาน ที่ถูกต้องแม่นยำสูงมาก โดยมีค่า accuracy ที่ดีในระดับถึง nano-second ทีเดียว และเมื่อจ่ายเวลาผ่าน NTP ให้กับเน็ตเวิร์คภายใน ก็สามารถรับประกันได้ว่า ค่าความแม่นยำที่ได้รับ จะอยู่ในระดับ Stratum 1 ตามมาตรฐาน หรือถ้ามีการใช้งานผ่านโปรโตคอลอื่นที่ดีขึ้น เช่น PTP การรับเวลาก็จะได้ความถูกต้องแม่นยำของเวลา ในระดับ micro-second


ข้อดีอื่น ๆ ของการติดตั้ง NTP ภายในหน่วยงานตัวเอง จะมีอีก ได้แก่

1. ความมั่นคงปลอดภัย (Resiliency) NTP ของ Orolia รุ่น SecureSync สามารถรองรับสัญญาณ GNSS หลากหลายชนิด ได้แก่ GPS  GLONASS  Galileo  BeiDou  QZSS และนอกจากนั้นภายในเครื่อง ยังมีวงจรสังเคราะห์ความถี่ภายใน (Oscillator) ที่มีความแม่นยำสูง ในกรณีที่ NTP ไม่สามารถรับสัญญาณดาวเทียม GNSS ได้ เครื่องก็จะทำงานในแบบของ Holdover คือใช้เวลาจาก Oscillator ภายในเครื่องเป็นฐานเวลาแทนสัญญาณดาวเทียม



จากตาราง ถ้าเลือก Oscillator ชนิด OCXO ค่าความคลาดเคลื่อนของเวลา เมื่อเครื่อง NTP ขาดการรับสัญญาณดาวเทียมผ่านไปแล้ว 24 ชั่วโมง ความผิดพลาดของเวลา ยังมีค่าไม่เกิน 25 micro-second ซึ่งดีกว่าการไปรับเวลาจาก Stratum 2 มากหลายเท่านัก

 

2. ความปลอดภัยของ สัญญาณดาวเทียม (RF Signal Security) NTP ของ Orolia รุ่น SecureSync มีคุณสมบัติที่สามารถติดตั้งเพิ่มเติม ระบบระวังป้องกันภัยจาก การรบกวนสัญญาณดาวเทียม GNSS Jamming และสัญญาณปลอม Spoofing โดยสามารถเลือกซื้อ Option Anti Jamming & Spoofing ได้ เพื่อเป็นการรับประกันว่า ระบบเวลาของ NTP จะมีความถูกต้องแม่นยำ ใช้งานได้ต่อเนื่องโดยปราศจากการล้มเหลว

รายละเอียดของ Jamming & Spoofing สามารถอ่านเพิ่มเติมได้จาก 

https://netsyncforum.blogspot.com/2018/08/gnss-jamming-and-spoofing.html


3. สัญญาณเวลา และความถี่มาตรฐานอื่น ๆ นอกจากจะมีการจ่ายเวลามาตรฐาน NTP แล้ว NTP ของ Orolia รุ่น SecureSync ยังรองรับการจ่ายเวลาผ่านโปรโตคอล PTP โดยจ่ายเวลาอ้างอิงมาตรฐานความแม่นยำระดับ nano-second สามารถจ่ายเวลาแบบ IRIG โดยจ่ายเวลาผ่าน serial interface หรือ coaxial cable และในส่วนของความถี่มาตรฐาน เครื่องก็รองรับการจ่ายสัญญาณ 1PPS และ 10MHz ด้วย 

การติดตั้ง NTP server ภายในหน่วยงานของตนเอง จึงเป็นการสร้างความปลอดภัยให้กับเน็ตเวิร์ค และยังจะได้ความแม่นยำของเวลามาตรฐานภายในโครงข่ายถูกต้องตรงตามข้อกำหนด

ต้นฉบับของบทความนี้ แปลและรวบรวมมาจากลิงค์ต่อไปนี้

https://www.orolia.com/mitigating-an-ntp-distributed-denial-of-service-ddos-attack/


บริษัท NetSync (Thailand) Limited มีความยินดีที่จะให้คำปรึกษาเรื่องระบบ Master Clock, NTP Server, Time & Frequency system


ติดต่อ คุณยุทธนา  Tel: 089-136 6399

info@netsync.co.th    

yutthana@netsync.co.th




Read more