对于网络安全来说,NTP的准确性是至关重要的。对它进行正确设置仅仅需要很少的时间,保护它的安全也不要什么额外的投入,但在安全方面获得的改善将会是非常大的。本文将给大家详细的介绍如何进行网络时间设置。
网络时间协议(NTP)是一种基于用户数据报协议(UDP)采用服务器作为客户端的专用协议,可以用来对网络设备的时间进行同步。对于虚拟专用网、基于时间的访问控制列表来说,时间同步是一项非常重要的功能;并且,在进行网络调试、安全测试和事件关联等操作的时间,它也是一个非常重要的因素。
NTP采用的是一个称之为“层”的概念,所谓的“层”指的就是一台设备到达一个权威的时间源需要“跳”几次。在这里,0层指的就是基于一台或者一系列的原子钟,它可以提供非常准确的时间概念。而1层指的就是,它可以直接从0层的时钟获得信息,因此,就是跳了一次。第2层第3层的情况可以依次类推。
对于网络来说,NTP是一个非常重要的因素,所以你必须保证它是正确可靠的。因此,最简单可行的保证方法就是在网络中建立一个第1层的时钟源,提供准确可靠的时间源。通常情况下,最常见的方法就是选择网络中的一台设备,一般来说是路由器,与一个第1层或者第2层的公共时间源进行同步,作为本地网络的主时钟源。
内部设备、服务器和主机可以与这个网络时钟源进行时间同步。在防火墙上,该层可以让你通过UDP端口123对NTP进行全面的设置。
通过路由器和执行NTP访问控制列表来保证NTP的认证过程,也可以改善网络的安全情况。
保证NIP的安全
NTP的认证方式和你想象的可能有所不同。在思科路由器上进行NTP认证的时间,关键在于源主机(主时钟) ,采用的是MD5哈希响应。在进行NTP认证的时间,请求是客户端而不是路由器发出的。
在这个过程中,核查的是发出请求的客户端源代码的完整性,而不是客户的有效性。这也就意味着,路由器不需要进行通常要做的身份验证操作。但是,如果客户端的认证请求没有被路由器认可进行配置,NTP同步操作就会失败。
因此,为了保证网络的可靠性和安全性,你应该在当中设置多台路由器来自动进行NTP同步;它们应该从不同的第1层时间源获取时间信息,并且在这些路由器之间也要建立对等的认证机制。
在部署NTP的时间,访问控制列表是一个非常有用的工具。你可以建立一个“对等组”的访问控制列表来对网络IP地址来进行认证和控制,确保路由器连接的安全。此外,你也可以建立一个“服务”或者说“服务限制”的访问控制列表来确定在路由器上哪些网络IP地址或者网络时钟可以进行NTP查询。
对于网络时间协议安全来说,NTP的准确性是至关重要的。对它进行正确设置仅仅需要很少的时间,保护它的安全也不要什么额外的投入,但在安全方面获得的改善将会是非常大的。