Mais comment ça marche un serveur NTP ?

Garantir la synchronisation avec une horloge de référence (horloge NTP) est l’une des missions prioritaires dans le quotidien des gestionnaires de réseaux informatiques. Les serveurs NTP remplissent pleinement cette fonction à condition de bénéficier d’une sécurité optimale. Alors, comment sécuriser efficacement ces équipements informatiques ?

Fort d’une expérience en cyber sécurité, les experts Kairos Data vous présente les différentes solutions pour protéger vos serveurs NTP de toute cyberattaque.

Contrôle des accès à l’équipement

Premièrement, la protection de vos serveurs NTP se fera au moyen d’une administration optimale sur les accès aux paramètres de configuration de l’équipement.

Restriction d’accès à la configuration

Pour garantir la sécurité de vos serveurs NTP, vous devez définir le rôle des utilisateurs ayant accès à l’interface d’administration de l’équipement. Selon le niveau d’utilisateur, vos collaborateurs n’auront pas les mêmes permissions. Pour illustrer ces propos, notre équipe vous fournit l’exemple suivant :

  • « Super Admin » : il aura accès à l’ensemble des fonctionnalités du serveur (lecture / écriture),
  • « Admin » : il pourra éditer certains fichiers, mais pas l’intégralité,
  • « User » : il ne sera en mesure que de consulter les informations présentes.

Par ailleurs, vous avez la possibilité de limiter les moyens d’accès à vos serveurs NTP :

  • Via l’interface web : cette dernière est protégée par un mot de passe,
  • À l’aide d’une clef USB : ce matériel va jouer le rôle d’agent de sûreté. La présence de cette clef sur le port USB du poste informatique va verrouiller ou déverrouiller les nombreuses options de paramétrage.

Gestion des protocoles d’accès

À ce jour, trois méthodes existent pour gérer et restreindre l’accès au paramétrage des équipements NTP Meinberg :

  • Utilisation du « Login Access Restriction » : cette première solution permet de limiter la liste des équipements (host) autorisés à accéder à l’interface de paramétrage,
  • Paramétrage des protocoles en service : en tant qu’administrateur, vous avez la possibilité d’activer ou de désactiver certains protocoles sur chaque porte physique. Nous pouvons vous citer, par exemple, les protocoles NTP, HTTP, HTTPS, TELNET ou encore SSH,
  • Incitation à utiliser des protocoles sécurisés : vous pouvez suggérer à vos collaborateurs de naviguer sur des sites Internet sécurisés dont l’URL commence par HTTPS et non simplement par HTTP. Il en est de même pour les communications entre postes client et serveurs. Il préférable d’utiliser le protocole SSH pour garantir la sécurité de la communication. Ce dernier encrypte les mots de passe circulant au cours de l’échange.

Sécurisation des échanges NTP

Également, la protection de vos serveurs NTP passe par la sécurisation des échanges NTP. Le Network Time Protocol (NTP) supporte une authentification par clef symétrique. Dans les versions 2 et 3 du protocole, les serveurs NTP cryptent l’information à l’aide d’une clef sur 32 bits et d’une checksum cryptée, quant à elle, sur 64 ou 128 bits. Pour assurer une sécurité optimale de vos équipements, nos experts vous recommandent un renouvellement régulier de ces clefs d’authentification. Ce changement de clef peut être effectué de façon mensuelle, bimestrielle ou bien trimestrielle.

Cependant, cette gestion peut s’avérer lourde pour l’administrateur réseau. C’est pour pallier à cette problématique que la dernière itération en date du protocole (version 4) inclut la fonction « autokey ». Combinant une « clef groupe » et une « clef publique », ce service permet de générer et de distribuer automatiquement une clef sécurisée sur chaque équipement d’un réseau.

Duplication de l’horloge NTP

Par la suite, vous avez la possibilité de renforcer la sécurité de vos serveurs NTP en créant une seconde instance de l’horloge de référence (horloge NTP). Cette opération de redondance peut être réalisée de deux manières différentes :

  • Copie du module de réception de l’horaire de référence : vous pouvez ajouter un deuxième récepteur GPS à votre serveur NTP. En cas de perte de synchronisation sur l’un des récepteurs, le second prendra alors automatiquement le relais,
  • Activation de la technologie MRS (Multiple Reference Source) : ainsi, vous pourrez utiliser une ou plusieurs références de temps (GPS, PPS, 10MHz, TTL, serveur NTP externe) tout en définissant un ordre de priorité des sources d’entrée. Si la source de priorité 1 vient à perdre la synchronisation, la source de priorité secondaire sera alors en charge de la synchronisation de l’horaire de référence.

Également, la qualité de l’oscillateur interne de votre serveur NTP influe sur la sécurité de votre infrastructure informatique. Même lors de désynchronisation, l’oscillateur assure la continuité de service. Il passera alors en mode « free running », une dérive de l’horloge NTP peut être cependant constatée. Cette dernière peut être vérifiée grâce au paramètre « NTP Trustime » qui indique le temps (secondes, minutes, heures ou jours) pendant lequel vous pouvez avoir confiance en l’horloge du récepteur.

Enfin, lorsque deux horloges NTP sont actives, il est possible de comparer l’écart de temps entre ces deux sources par le biais de la fonction SHS (Secure Hybrid Systems). Si cet écart se révèle être trop important, vous pouvez stopper momentanément la transmission de l’horaire de référence au serveur NTP.

En résumé, l’utilisation de plusieurs sources de temps vient renforcer la sécurité de vos serveurs NTP ainsi que la fiabilité de l’horaire de référence (horloge NTP).

Intégration d’un pare-feu

En complément de ces mécanismes, vous pouvez adjoindre un pare-feu Internet à votre réseau informatique. Ce matériel est spécialement conçu pour contrer les intrusions informatiques extérieures. De plus, il assure un filtrage du flux de données qui transite sur le réseau. Avec ce dispositif, vous ajoutez ainsi une barrière supplémentaire à votre serveur NTP.

À la lecture de l’article, les mécanismes logiciels et matériels évoqués ci-dessus sont d’excellents moyens pour protéger vos équipements informatiques (postes informatiques, serveurs de stockage haute performance, etc.) de diverses attaques cybercriminelles. Expert en datation depuis plus de 25 ans, Kairos Data vous accompagne dans le déploiement de solutions de synchronisation temps-fréquence adaptées à votre entreprise. En auditant votre infrastructure, nos experts seront en mesure de vous proposer les équipements suivants :

Découvrez, sans plus attendre, l’ensemble des solutions et services Kairos !

Si vous avez des questions sur le fonctionnement du serveur NTP ou sur un autre sujet, nos équipes se tiennent à votre disposition, par téléphone, au 01 30 88 91 95 ou par e-mail.