Meinberg RDT LANTIME Benutzerhandbuch

Seite 48

Advertising
background image

NTP Autokey

NTP Version 4 unterstützt neben den symmetrischen Schlüsseln zusätzlich noch

das sogenannte Autokey-Verfahren. Die Echtheit der empfangenen Zeit auf den NTP-
Clients wird durch symmetrische Schlüssel sehr gut sichergestellt. Allerdings ist für
eine höhere Sicherheit der periodische Austausch der verwendeten Schlüssel nötig,
um einen Schutz, z.B. vor Replay-Attacken (d.h. Angriffen, bei denen
aufgezeichneter Netzwerkverkehr einfach noch einmal abgespielt wird), zu erreichen.

Bei Netzwerken mit sehr vielen Clients kann dieses Austauschen der symmetrischen
Schlüssel allerdings mit sehr viel Aufwand verbunden sein, weil auf jedem Client die
Schlüssel für den/die NTP Server ausgetauscht werden müssen. Aus diesem Grund
wurde von den NTP Entwicklern das Autokey-Verfahren eingeführt, das mit einer
Kombination aus Gruppenschlüsseln (group keys) und öffentlichen Schlüsseln (public
keys) arbeitet. Alle NTP Clients können somit die Zeitangaben, die sie von Servern
ihrer eigenen Autokey-Gruppe erhalten, auf Echtheit überprüfen.

Beim Autokey-Verfahren werden sogenannte sichere Gruppen (secure groups)
gebildet, in denen NTP Server und Clients zusammengefasst sind. Es gibt drei
verschiedene Typen von Mitgliedern in einer solchen Gruppe:

a) Trusted Host

Ein oder mehrere vertrauenswürdige NTP Server. Um diesen Status zu erhalten,

muss der Server ein als „Trusted“ gekennzeichnetes selbst-signiertes Zertifikat
besitzen. Er sollte auf dem niedrigsten Stratum Level der Gruppe operieren.

b) Host

Ein oder mehrere NTP Server, die kein „Trusted“-Zertifikat besitzen, sondern nur

ein selbstsigniertes Zertifikat (ohne die „Trusted“-Kennzeichnung).

c) Client

Ein oder mehrere NTP-Client-Systeme, die im Gegensatz zu den beiden

erstgenannten Typen die Zeit lediglich empfangen und nicht in der Gruppe
weiterverteilen. Alle Mitglieder der Gruppe (Trusted Hosts, Hosts und Clients)
müssen im Besitz des gleichen Gruppenschlüssels sein. Der Gruppenschlüssel wird
von einer Trusted Authority (TA) generiert und muss dann manuell auf alle
Gruppenmitglieder verteilt werden (auf einem sicheren Weg, z.B. mittels scp). Die
Rolle der TA kann ein Trusted Host in der Gruppe übernehmen (zum Beispiel ein
Lantime), es ist aber auch ohne Probleme möglich, den Gruppenschlüssel von einem
nicht der Gruppe zugehörigen TA-Host erzeugen zu lassen.

Die verwendeten Public Keys können auf den Trusted Hosts der Gruppe periodisch
manuell neu erzeugt werden (das ist sowohl im Webinterface als auch über das CLI-
Setupprogramm möglich, über den Punkt „Generate new NTP public key“ im Bereich
„NTP Autokey“ auf der Seite „Security Management“) und damit dann automatisch
an alle anderen Mitglieder der Gruppe verteilt werden. Der Gruppenschlüssel bleibt

48

Advertising
Zie ook andere documenten in de categorie Meinberg Hardware: