Network Time Security (NTS) es un protocolo diseñado para asegurar la seguridad de la comunicación entre los clientes y los servidores de tiempo del protocolo NTP (Network Time Protocol).
NTP es un protocolo antiguo que ha sido diseñado en una época en la que la seguridad preocupaba menos que ahora. Criticado estos últimos años por su falta de seguridad, que lo hacía vulnerable a diversos tipos de ataques (ataques de intermediario, suplantación, reproducción), NTS añadió capas de autenticación y de cifrado a los intercambios NTP, con el fin de protegerlos contra estos ataques.
Historial y evolución de NTS
El desarrollo de NTS ha sido impulsado por la necesidad de mejorar la seguridad de las comunicaciones de sincronización horaria, que antes no estaban aseguradas o lo estaban insuficientemente por NTP. Las primeras proposiciones de especificación del protocolo NTS datan de 2015 y han sido emitidas por Sibold, Roettger y Teichel.
Sin embargo, la especificación definitiva fue publicada en septiembre de 2020, en el estándar RFC 8915 titulado «Network Time Security for the Network Time Protocol». Este documento es el resultado de varios años de trabajo por parte del Grupo de Trabajo de Ingeniería de Internet (IETF).
Operación e implementación de NTS
NTS corrige las deficiencias de NTP en materia de seguridad al proporcionar un mecanismo de autenticación y de cifrado para los paquetes NTP. Este mecanismo garantiza la autenticidad y la integridad de los datos de sincronización horaria entre el cliente y el servidor.
Las tres principales ventajas de NTS:
- Autenticación. NTS utiliza un proceso criptográfico moderno (basado en el uso compartido de claves sobre TLS) para autenticar la fuente de los mensajes NTP. Esto permite garantizar la legitimidad de los servidores que proporcionan la hora de referencia en una red.
- Confidencialidad. NTS cifra el flujo de mensajes usando una variante del algoritmo AES (Advanced Encryption Standard). Este cifrado garantiza la confidencialidad de los intercambios entre los clientes y el servidor de tiempo.
- Protección contra los ataques de reproducción. Esta técnica de ataque contra NTP consiste en interceptar un mensaje emitido por un servidor y reproducirlo al cliente. El formato de los paquetes NTS permite al cliente identificar las reproducciones.
NTS ha sido diseñado como una extensión de NTP, lo que significa que complementa el protocolo existente sin necesitar cambios mayores en la infraestructura existente. Además, los servidores y clientes que soportan el protocolo NTS todavía pueden comunicar con equipos NTP que no lo soportan. En este caso, las conexiones a estos equipos no se beneficiarán de las mejoras de seguridad que ofrece NTS.
La importancia de asegurar la seguridad horaria y de NTS
La precisión horaria es imprescindible para varias operaciones dentro de los sistemas informáticos modernos. Estas operaciones incluyen el registro de los eventos, la sincronización de las transacciones de bases de datos distribuidas y el hecho de asegurar la seguridad de las comunicaciones mediante TLS/SSL.
Antes de que fuera introducido el protocolo NTS por el Grupo de Trabajo de Ingeniería de Internet (IETF), la seguridad de los intercambios NTP representaba un fallo de seguridad potencial en la infraestructura de una organización. NTPv4 ya contaba con mecanismos de seguridad del flujo NTP (ver el estándar RFC 8633), basados en el intercambio de una clave de cifrado simétrico. Sin embargo, el mecanismo de gestión de estas claves, llamado AutoKey, está sujeto a vulnerabilidades críticas y no se recomienda usarlo.
Al usar NTS, las organizaciones ahora pueden mejorar la seguridad de su sincronización horaria. El hecho de usar un mecanismo de criptografía asimétrica permite comprobar la autenticidad de los emisores de mensajes, mientras que el cifrado garantiza la integridad de los datos de tiempo.
Así, al reducir los riesgos de ataques y de manipulación, NTS mejora la confianza de las organizaciones cuyas operaciones dependen de la precisión horaria.
NTS es un hito significativo en el esfuerzo continuo por garantizar la seguridad de las infraestructuras críticas involucradas en la sincronización horaria. Es necesario que los proveedores de servicios horarios, los administradores de red y los fabricantes de aparatos adopten NTS para mejorar la seguridad general de Internet y de las infraestructuras de red de las organizaciones.
Con más de 150 años de experiencia en gestión del tiempo y presente en más de 140 países, Bodet Time es el líder francés en sincronización horaria y tiempo frecuencia. El hecho de instalar un servidor de tiempo Netsilon localmente permite mejorar la seguridad de las redes informáticas.