Что такое перечисление NTP?

Опубликовано: 30 Января, 2023

Перечисление NTP — это процесс, с помощью которого злоумышленник может обнаружить серверы NTP в сети. Затем эту информацию можно использовать для поиска уязвимых NTP-серверов или просто для дальнейшего анализа сети. Серверы, к которым разрешен доступ из Интернета, обычно имеют гораздо больше шансов быть взломанными. Злоумышленник часто использует методы DNS и грубой силы для поиска этих серверов, а также использует Shodan.io или Censys для поиска незащищенных устройств.

Использовать уязвимость:

Хотя серверам NTP обычно предоставляется специальный доступ к сети, они не всегда должны находиться в одной сети. Например, злоумышленник может скомпрометировать сервер с открытым портом и использовать NTP для получения списка хостов, которые к нему подключены. Затем злоумышленник может отправить этот список сканерам, которые сканируют уязвимые хосты. Разница между этим и другими типами уязвимостей заключается в количестве необходимых исследований и более сложных вариантах эксплуатации. Это можно использовать против беспроводных сетей, потому что многие производители отключают беспроводной доступ в заводских настройках по умолчанию. Есть и менее очевидные способы его использования, такие как зеркалирование трафика.

Характеристики:

  • Поскольку NTP можно использовать для перечисления множества хостов в сети, перед использованием его в качестве альтернативного маршрута необходимо выполнить некоторые базовые проверки.
  • «Только -NTP» и «-NTP включен» — это простые проверки, которые часто можно выполнить на простом сервере, чтобы определить, уязвимы они или нет.
  • «Проверка связи» — это еще один простой тест, который часто может выявить, какие серверы могут быть или не быть уязвимыми, просто отправив пакеты от злоумышленника и записав ответ от его / ее жертвы.
  • Многие из этих тестов также можно автоматизировать с помощью ping с помощью tcpdump. Для Nessus и OpenVAS также доступно множество программ, которые могут сканировать уязвимости в конфигурациях NTP.
  • Nessus — это сканер сетевой безопасности, доступный для большинства операционных систем. Эта программа будет запускать проверки ряда сервисов. NTP должен быть добавлен в этот список, а уязвимости будут идентифицированы плагином или правилом. Это часто может привести к кратковременному отключению, если время простоя требуется для обслуживания, обновления программного обеспечения, ремонта и т. д.
  • OpenVAS — это сканер уязвимостей с открытым исходным кодом, который может сканировать сети на наличие широко известных уязвимостей. Он также может сканировать многие другие малоизвестные уязвимости, такие как NTP Enumeration и другие проблемы, которые еще не описаны в официальной документации.
  • В Интернете доступно несколько приложений, которые автоматизируют поиск уязвимостей в OpenVAS (Stratumnscan, ASVScan).

Модель безопасности NTP:

  • NTP работает через UDP и TCP. NTP также может быть отправлен через IP-многоадресную рассылку, а также работать на уровне 2 (Ethernet).
  • NTP использует симметричное шифрование с общим ключом между каждым сервером и клиентом.
  • Существует два типа ключей: автоматический ключ и симметричный ключ. Autokey используется для широковещательной связи. Источник сообщения о времени известен как сервер «уровня 1», но, поскольку эта система устарела, многие серверы NTP больше не используют ее. Все современные серверы используют симметричный ключ для связи между клиентами и серверами.
  • Он использует только один тип пакета, пакет NTP. Единственная разница между пакетами NTP, UDP и TCP заключается в том, как они зашифрованы.
  • Симметричный ключ используется для каждого пакета, отправляемого клиентом, он также позволяет осуществлять многоадресную передачу, однако из-за этого многоадресные пакеты менее эффективны.
  • Клиент должен использовать локальный индивидуальный IP-адрес для идентификации в пакетах (а не MAC-адрес).
  • Пакеты NTP содержат контрольную сумму и номер порта, которые отправляются один раз при подключении.
  • Брандмауэры должны быть настроены для правильной работы NTP.
  • NTP может работать в режиме без аутентификации или в режиме аутентификации.

Важные точки:

  • На практике не требуется, чтобы вся сеть контролировалась NTP; только первый уровень инфраструктуры.
  • NTP не следует использовать параллельно с DNS.
  • Сетевое время часто может быть отключено на неправильно настроенных устройствах или переопределено на клиентах и серверах.
  • Серверы должны использовать разные источники времени, а клиенты должны использовать параметры NTP для установки собственного источника (в противном случае клиент может быть уязвим).

Вывод:

NTP — это старый протокол, который раскрывает меньше информации о сети, чем другие протоколы. В серверах NTP есть несколько типов уязвимостей, и даже если это не серьезная проблема, всегда лучше, по крайней мере, убедиться, что сервер исправлен, прежде чем подключаться к нему. Эксперт по безопасности Брюс Шнайер говорит о NTP следующее: «NTP годами использовался как законный способ обмена синхронизацией между устройствами, чтобы они знали, который сейчас час, и могли быть синхронизированы. Однако серьезные уязвимости всегда были и остаются сегодня. Поскольку их легко использовать, NTP следует держать подальше от корпоративной сети».

Picked

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Количество чисел между L и R, взаимно простых с P
27 Февраля, 2023
Постройте матрицу, каждая строка и столбец которой содержат N и M единиц соответственно.
27 Февраля, 2023
Найдите все факторы заданного числа и их побитовое XOR
27 Февраля, 2023
Показать самое длинное имя
27 Февраля, 2023
Форматирование лицензионного ключа
27 Февраля, 2023
Когда я должен использовать список против LinkedList
27 Февраля, 2023
Реализовать быструю сортировку с первым элементом в качестве опорного
27 Февраля, 2023
Алгоритм хеш-сортировки
27 Февраля, 2023