El protocolo NTP permite transmitir una información horaria en una red, para asegurar que todos los relojes de una red estén sincronizados con un desfase aceptable. Este protocolo es uno de los primeros protocolos creados y en encontrar un gran éxito. NTP es fácil de implementar puesto que funciona en Internet y existen servidores públicos para recuperar la hora.
Este uso de Internet como red de soporte para el protocolo presenta varias ventajas pero también inconvenientes, como el hecho de exponer los servidores a ataques externos, como los ataques de denegación de servicio distribuido (DDoS). Este tipo de ataque puede paralizar una red completamente y tener un impacto significativo sobre la actividad de una empresa.
Así, es imprescindible conocer todas las funciones del protocolo NTP para configurar una red de forma óptima. Una configuración adecuada no sólo permite aprovechar al máximo las ventajas del NTP, pero también protegerse contra los ataques potenciales.
Los diferentes modos operativos del NTP
Para garantizar una protección máxima, es importante no depender de servidores NTP públicos, sino más bien diseñar una red de manera autónoma llevando a cabo una sincronización con un servidor de tiempo fiable mediante una fuente de referencia como el GPS.
NTP puede funcionar de varias maneras:
- Unicast : Éste es el modo operativo estándar del protocolo NTP en el que el cliente envía periódicamente una solicitud de marca de tiempo a los servidores a los que está conectado, para sincronizar su reloj.
- Broadcast : En este caso, la sincronización no se lleva a cabo por los clientes pero más bien por los servidores que publican periódicamente su marca de tiempo en la red. Los clientes suscritos a los servidores pueden utilizar las marcas de tiempo recibidas para sincronizar su reloj.
- Multicast : El modo multicast es una variante del broadcast en el que los servidores no envían su marca de tiempo a la red entera pero más bien a una dirección multicast específica. Este modo reduce ligeramente la carga de red pero requiere equipos de red capaces de soportar el multicast.
- Manycast : Este nuevo modo apareció con NTPv4. Se trata de una variante del multicast en el que los clientes encuentran los servidores más cercanos mediante un mecanismo dedicado. Una vez encontrados los servidores, los clientes establecen conexiones unicast con estos últimos. El hecho de distribuir de forma estratégica los servidores en la red permite repartir la carga de cada servidor para optimizar la red.
Éste es el modo de difusión más reciente y está diseñado para ser el más eficaz. Se trata del modo de difusión que privilegiar cuando uno está equipado con el equipo necesario para implementarlo. Es necesario que todos los equipos funcionen con NTPv4.
Cualquiera que sea el modo de difusión de las marcas de tiempo elegido, es importante dedicar tiempo para asegurar su red con el fin de protegerse contra los ataques.
Un fallo muy conocido y ampliamente documentado se refiere a los mensajes de control NTP, el famoso modo 6. De hecho, si no se autentican las comunicaciones en la red, es posible recuperar mucha información o iniciar un ataque de amplificación dentro de una red NTP. Hace falta actualizar los servidores NTP a una versión corregida para protegerse, o simplemente desactivar los mensajes de control para asegurar una inmunidad a este fallo.
Una buena práctica fundamental cuando uno configura una red NTP es asegurar los intercambios al autenticar las comunicaciones. Esto evita que los atacantes se hagan pasar por una máquina de la red. El hecho de autenticar mensajes NTP en la red permite protegerse contra la mayoría de los ataques. La autenticación está activada por defecto en los equipos recientes.
Con el fin de protegerse contra la posible corrupción de ciertos servidores, se pueden emparejar los servidores NTP. Este tipo de funcionamiento «peer-to-peer» permite a los equipos NTP actuar como cliente y servidor al mismo tiempo. Esto puede resultar útil para detectar el desfase de un servidor.
Independientemente del modo operativo elegido y de las medidas implementadas para contrarrestar estos ataques, es importante supervisar una red correctamente para ser informado en caso de comportamiento sospechoso y poder reaccionar lo antes posible. Existen varias soluciones para supervisar una red horaria. Lo importante es poder detectar lo antes posible el fallo de uno o varios relojes de forma significativa. Supervisar el tráfico NTP de una red permite detectar fácilmente cualquier tráfico anormal antes de que pueda tener un impacto negativo.
Generalmente, vale más seguir las Mejores Prácticas Actuales (BCP 38, introducidas en la RFC 2827) para protegerse contra los ataques de tipo DDoS. La RFC 8633, presenta las mejores prácticas que deben aplicarse para el protocolo NTP, en términos de seguridad y otros aspectos.
Es necesario pensar en la configuración de una red NTP con anticipación para sacar el máximo partido de este protocolo y garantizar una sincronización horaria eficaz y segura. Al observar ciertas precauciones y al dedicar tiempo para implementar las medidas de seguridad adecuadas, entonces es posible protegerse contra la mayoría de los ataques (como los ataques de denegación de servicio distribuido), y conseguir una sincronización horaria de calidad con un coste optimizado de los recursos.
Con más de 150 años de experiencia en gestión del tiempo y presente en más de 140 países, Bodet Time es un líder francés en sincronización horaria y en tiempo frecuencia. Instalar un servidor de tiempo NTP Netsilon localmente asegura una sincronización horaria fiable y refuerza la seguridad de una red informática.
