[GTER] Re: Re: Timezone

[Antonio Augusto de Cintra Batista]

Este equipamento da Tymserve é tipo um "appliance": gabinete 1U com
interface ethernet e que fornece NTP para a sua rede local. Até aí muito
bom. Mas quando o marketing do produto induz a crer que o NTP restrito à
rede interna do cliente é mais seguro, eu discordo:

  * Antes de existirem os firewalls statefull, tanto a porta destino
    quanto a de origem do pacote UDP já eram fixas (porta 123). Isto quer
    dizer que você já podia fazer regras bem restritas no firewall:
    
    passe pela interface ethX protocolo udp vindo de \
      <ip-servidor1-ntp> porta 123 para \
      <ip-sua-máquina> porta 123

  * Para o pacote abrir uma porta de origem < 1024, isto normalmente
    significa que o programa ntp deve rodar como root, o que pode ser um
    risco a mais. Mas se é desejado segurança, deve-se contratar um
    profissional e solicitar que ele coloque o serviço ntp rodando numa
    "jail", além de incontáveis outras medidas necessárias.

  * Alguém (ou algum trojan) na rede interna pode tentar invadir o
    appliance da Tymserve, cujo processo ntp nem deve estar rodando numa
    "jail".

  * Até hoje só me lembro de uma vulnerabilidade descoberta na
    implementação free software do NTP. A implementação atual já pode
    ser considerada bastante estável e segura. 

On Fri, Sep 19, 2003 at 07:20:34PM -0300, Silvio Reis wrote:
> 
> Caro,
> 
> 	Procede parcialmente. O protocolo de sincronizacao NTP utiliza UDP
> (porta 123) o que torna o controle no firewall mais complicado. O maior
> problema é que você passa a confiar no horário fornecido por alguem que não
> tem nenhuma responsabilidade de oferecer um servico confiável ou com um
> algum nivel minimo de serviço.
> 
> 	A própria norma de seguranca NBR/ISO/IEC 17799 recomenda o uso de um
> relógio confiavel para a sincronizacao, essa preocupacao é principalmente
> necessaria para manter os logs precisos e confiaveis caso seja necessario
> usa-los judicialmente.
> 
> 	Veja que existem 2 coisas diferentes sobre sincronizacao para voce
> cuidar na sua rede: Todas as maquinas tem que ter a mesma hora E esse hora
> tem que ser a correta.
> 
> 	Existem equipamentos (veja um modelo em
> http://www.tymserve.com/ntpclock.html ) que são dispositivos dedicados que
> podem fornecer a hora (pega de satelite ou sinal de radio na Europa/America
> do Norte) via NTP (para uso em rede) e diversos "formatos" wireless para
> alem da hora da rede ser correta a hora dos relogios de parede, ponto, pabx,
> fax, etc serem corretas e sincronizadas.
> 
> 	Mesmo comprando esse equipamento você ainda terá o problema da
> "validacao" da hora para uso judicial e é esse o servico que a ON vende,
> eles são um "cartorio de hora certa", e essa validacao pode ser necessaria
> para empresas que utilizam o horario para atividades comerciais (leilao,
> licitacao, concursos, etc).
> 
> 	Uma forma barata é usar um GPS com saida serial (Garmin), com alguma
> programacao (perl/linux :-) dá para consultar os dados, como a hora certa
> via satelite, e sincronizar o horario do seu servidor NTP privado.
> 
> []'s
> Silvio Reis
> silvio at alfama.com.br
> 
> 
> -----Original Message-----
> From: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] On
> Behalf Of MARLON BORBA
> Sent: Friday, September 19, 2003 16:03
> To: gter at eng.registro.br; rodrigo at life.com.br
> Subject: Re: [GTER] Re: Timezone
> 
> 
> All,
> 
> Estava eu lendo a documentação no "site" do ON e eles não recomendam, para
> propósitos institucionais, o uso do NTP porque o serviço, alegam, tem furos
> de segurança. Sugerem que se use um "hardware" proprietário conectado por
> linha telefônica a um "appliance" similar no ON. Bem.. isso seria mais
> propriamente discutido na GTS-L, mas não resisto a lhes perguntar:- procede
> essa tese do ON?
> 
>