การลดผลกระทบของ DDoS attack จากพอร์ต NTP
การอ้างอิงเวลาของระบบเน็ตเวิร์ค เป็นสิ่งสำคัญระดับต้น ๆ ของหน่วยงาน ที่เกี่ยวกับโครงสร้าง สาธารณูปโภคพื้นฐาน (Critical Infrastructure) เช่น ระบบสื่อสาร ระบบคมนาคม พลังงาน สถาบันการเงิน โดยทั่วไปวิศวกรและผู้ดูแลระบบมักจะมองข้ามความสำคัญของการอ้างอิงเวลามาตรฐาน และรับเวลาอ้างอิงจาก NTP server สาธารณะ ซึ่งการรับเวลา NTP ผ่านอินเตอร์เน็ต ก็สามารถใช้งานได้ดีในระดับหนึ่ง สำหรับการใช้งานพื้นฐานตามบ้านเรือนทั่วไป แต่สำหรับหน่วยงานแล้ว การรับเวลา NTP ผ่านอินเตอร์เน็ต เป็นช่องโหว่ที่สำคัญจุดหนึ่งในการเข้าโจมตีจากผู้ไม่ประสงค์ดี เช่น hacker
จากข้อมูลรายงานความปลอดภัยของอินเตอร์เน็ต
(Internet Security report) ของ Akamai
เมื่อปี 2018 พบว่า การรับเวลา NTP ผ่านอินเตอร์เน็ต มีความเสี่ยงสูงเป็นอันดับที่สอง จากการถูกโจมตีด้วย DDoS
attack โดยพบว่าภายในระยะเวลา 1 ปี มีการโจมตีเพิ่มขึ้นสูงถึง
16%
ภาพที่ 1 แสดงตัวอย่าง โครงสร้างของระบบเน็ตเวิร์คที่รับเวลา NTP
ผ่านอินเตอร์เน็ต โดยทั่วไป |
ระบบตามแผนภาพด้านบน
การรับเวลา NTP ของระบบเน็ตเวิร์คภายในองค์กร
จะไปรับเวลามาจากกลุ่มของ NTP server pool จำนวนหลาย ๆ
เครื่อง โดยเครื่องคอมพิวเตอร์ server ภายในจะมีขั้นตอนกระบวนการ
ออกไปซิงค์เวลาอ้างอิงจาก NTP ภายนอกผ่าน Firewall ซึ่งการเปิดพอร์ต Firewall ดังกล่าวนี่เอง
เป็นช่องโหว่ให้บรรดา hacker สามารถผ่านเข้ามาโจมตีระบบเน็ตเวิร์คภายในทั้งหมดได้
และถึงแม้ว่าจะใช้งาน Firewall ร่วมกับระบบป้องกันความปลอดภัยอื่น
ๆ เช่น IDS (Internet Detection System) หรือ IPS
(Internet Prevention System) ตราบใดก็ตาม ที่ยังมีการเปิดพอร์ต
ก็จะมีช่องทางให้ผู้ไม่หวังดีเข้ามายังภายในได้
นอกจากนั้นคุณภาพของเวลาอ้างอิงที่ได้
ยังมีคุณสมบัติความเที่ยงตรงและความแม่นยำที่ไม่สูงนัก เนื่องจากกระบวนการซิงค์ NTP จากอินเตอร์เน็ตซึ่งต้องผ่านช่องทางสาธารณะ (public
network) ค่าความผันแปรของ network latency และค่าผันแปรอื่น
ๆ ไม่คงที่ โดยจะแปรเปลี่ยนไปตาม traffic ในแต่ละช่วงเวลา
ดังนั้นเวลาที่ได้รับ จะมีโอกาสคลาดเคลื่อนไปจากเวลามาตรฐานได้
การที่จะลดความเสี่ยงของการถูกโจมตีด้วย
DDoS จากพอร์ต NTP จะสามารถทำได้ด้วยการ
ปิดพอร์ตการใช้งาน NTP จากอินเตอร์เน็ต
ภาพที่ 2 แผนภาพการติดตั้ง NTP ของตัวเอง
สำหรับโครงข่ายที่มีความมั่นคงปลอดภัย (Resilient Network) |
การติดตั้ง
NTP ภายในโครงข่ายของตัวเอง จะไม่ต้องไปพึ่งพิงการรับเวลาจากภายนอก
ซึ่ง NTP server จะรับสัญญาณเวลาอ้างอิงมาตรฐาน จากระบบดาวเทียม
GNSS ซึ่งจะมีค่าเวลามาตรฐาน ที่ถูกต้องแม่นยำสูงมาก โดยมีค่า
accuracy ที่ดีในระดับถึง nano-second ทีเดียว
และเมื่อจ่ายเวลาผ่าน NTP ให้กับเน็ตเวิร์คภายใน ก็สามารถรับประกันได้ว่า
ค่าความแม่นยำที่ได้รับ จะอยู่ในระดับ Stratum 1 ตามมาตรฐาน
หรือถ้ามีการใช้งานผ่านโปรโตคอลอื่นที่ดีขึ้น เช่น PTP การรับเวลาก็จะได้ความถูกต้องแม่นยำของเวลา
ในระดับ micro-second
ข้อดีอื่น
ๆ ของการติดตั้ง NTP ภายในหน่วยงานตัวเอง
จะมีอีก ได้แก่
จากตาราง
ถ้าเลือก Oscillator ชนิด OCXO
ค่าความคลาดเคลื่อนของเวลา เมื่อเครื่อง NTP ขาดการรับสัญญาณดาวเทียมผ่านไปแล้ว
24 ชั่วโมง ความผิดพลาดของเวลา ยังมีค่าไม่เกิน 25 micro-second
ซึ่งดีกว่าการไปรับเวลาจาก Stratum 2 มากหลายเท่านัก
2. ความปลอดภัยของ
สัญญาณดาวเทียม (RF Signal Security) NTP ของ Orolia รุ่น SecureSync มีคุณสมบัติที่สามารถติดตั้งเพิ่มเติม
ระบบระวังป้องกันภัยจาก การรบกวนสัญญาณดาวเทียม GNSS Jamming และสัญญาณปลอม Spoofing โดยสามารถเลือกซื้อ Option
Anti Jamming & Spoofing ได้ เพื่อเป็นการรับประกันว่า
ระบบเวลาของ NTP จะมีความถูกต้องแม่นยำ ใช้งานได้ต่อเนื่องโดยปราศจากการล้มเหลว
รายละเอียดของ Jamming & Spoofing สามารถอ่านเพิ่มเติมได้จาก
https://netsyncforum.blogspot.com/2018/08/gnss-jamming-and-spoofing.html
3. สัญญาณเวลา และความถี่มาตรฐานอื่น ๆ นอกจากจะมีการจ่ายเวลามาตรฐาน NTP แล้ว NTP ของ Orolia รุ่น SecureSync ยังรองรับการจ่ายเวลาผ่านโปรโตคอล PTP โดยจ่ายเวลาอ้างอิงมาตรฐานความแม่นยำระดับ nano-second สามารถจ่ายเวลาแบบ IRIG โดยจ่ายเวลาผ่าน serial interface หรือ coaxial cable และในส่วนของความถี่มาตรฐาน เครื่องก็รองรับการจ่ายสัญญาณ 1PPS และ 10MHz ด้วย
การติดตั้ง
NTP server ภายในหน่วยงานของตนเอง จึงเป็นการสร้างความปลอดภัยให้กับเน็ตเวิร์ค
และยังจะได้ความแม่นยำของเวลามาตรฐานภายในโครงข่ายถูกต้องตรงตามข้อกำหนด
ต้นฉบับของบทความนี้
แปลและรวบรวมมาจากลิงค์ต่อไปนี้
https://www.orolia.com/mitigating-an-ntp-distributed-denial-of-service-ddos-attack/
บริษัท NetSync (Thailand) Limited มีความยินดีที่จะให้คำปรึกษาเรื่องระบบ Master
Clock, NTP Server, Time & Frequency system
ติดต่อ คุณยุทธนา Tel:
089-136 6399
info@netsync.co.th
yutthana@netsync.co.th
0 comments:
Post a Comment