بررسي آسيب پذيري NTP |Network Time Protocol Mode 6 Scanner
پروتكل NTP چيست ؟
پروتكل NTP كه مخفف Network Time Protocol است ، يك پروتكل شبكه اي براي همگام سازي ساعت سيستم هاي مختلف مانند سويچ ، كامپيوتر ، سرور و … در شبكه است .
اين پروتكل(NTP) براي دقت زمان فراينده هاي حياتي ، امنيت ، ثبت رويداد ها و پايگاه داده روي سيستم ها مهم است . اگر اين پروتكل روي دستگاه هاي مختلف فعال باشد با ارسال بسته هاي مخصوص به يك سرور NTP در داخل يا خارج از شبكه زمان دقيق را محاسبه و ساعت را تنظيم ميكند ، NTP ساعت را يك باره تنظيم نميكند بلكه آن را با جلو و عقب كشيدن تنظيم مي كند تا از ايجاد وقفه در برنامه جلوگيري شود.
حملات رايج پروتكل NTP ؟
اين پروتكل به دليل قدمت و حياتي بودن آن در شبكه ها به جز كاربرد هاي كه دارد بايد بررسي هاي امنيتي را براي آن در نظر گرفت زيرا مهاجمان سايبري از ضعف هاي آن سوئ استفاده ميكنند.
حملاتي مانند :
- جعل هويت (Spoofing) : اين حمله يكي از جديد ترين نوع حملات است ، در اين حمله مهاجم با جعل آدرس IP يك سرور معتبر بسته هاي حاوي زمان را عليه قرباني(سرور آسيب پذير) ارسال ميكند.
- تغيير زمان (Time Spoofing) : سطح اين حمله در شبكه بالا (Hige) است ، اين نوع حمله باعث مي شود مهاجم با رهگيري يا جعل پاسخ هاي NTP زمان غلطي را به تجهيزات تزريق كد و در نتيجه باعث ابطال گواهي هاي امنيت ، اختلال زماني در ثبت لاگ ها و … مي شود.
- حمله Reflection Amplificaton (DDOS) : سطح اين حمله در شبكه بالا (Hige) است اين نوع حمله با درخواست هاي جعلي به سرور NTP آسيب پذير مي شود و پاسخ هاي حجمي به سرور ارسال مي كند و در نهايت ترافيك را اشغال مي كند. .و در نهايت اين حمله رو ترافيك شبكه (پهاني باند) تاثير گزاشته و اختلال در سرويس ها ايجاد ميكند.
- اخلال در سرويس(DOS) : سطح اين حمله متوسط (medium) است كه مهاجم (حمله كننده) با بهره برداري از آسيب پذيري هاي نرم افزاري باعث توقف شدن NTP مي شود و در نهايت باعث قطع هماهنگ سازي زمان در كل شبكه مي شود.
اقدامات جلوگيري از حملات در لايه هاي مختلف
براي مقاله با اين تهدادت در سطح شبكه و بالا بردن امنيت سازمان مثلا حملات بسيار مهم DOS و DDOS بايد امنيت را در چند لايه مختلف پياده سازي كنيد .
1- استفاده از پروتكل NTS : بهترين پيشنهاد براي جلوگيري از حملات NTP در انواع مختلف استفاده از پروتكل ايمن به نام NTS كه مخفف Network Time Security است . اين پروتكل به پروتكل اصلي يعني NTP يك لايه امنيتي اضافه ميكند و تضمين ميكند داده هاي زماني به صورت صحيح توسط سرور دريافت شوند.
2- بستن دسترسي هاي غير ضروري : اگر سرور كه NTP استفاده مي كند فقط به عنوان كلاينت عمل مي كند (يعني زمان را از سرورهاي ديگر مي گيرد) حتما قابليت سرور دهي آن را غير فعال كنيد .
3- ليست كنترل دستري (ACL) : با استفاده از فايروال يا خود دستگاه(مثال سويچ هاي سيسكو) دسترسي به سرور را به شبكه مجاز يا IP مجاز محدود كنيد.
4- ايجاد Rat Limiting : روي فايروال لبه شبكه يا خود دستگاه (مثلا سرور يا سويچ) رودي NTP براي درخواست هاي نرخ اعمال در نظر بگيريد تا مهاجم حجم بالايي از درخواست ها را به سمت سرور ارسال نكند.
5- بروز رساني مداوم : هميشه NTP خود را به آخرين نسخه پايدار به روز كنيد تا بسياري از آسيب پذيري هاي شناخته شده رفع شوند.
6-پايش لاگ ها : لاگ هاي سرور NTP و Client را براي يافتن فعاليت هاي غير عادي مانند تغييرات ناگهاني زمان يا خطا هاي مكرر را در نظر بگيرد و مورد پايش قرار دهيد.
بررسي آسيب پذيري NTP در سويچ هاي سيسكو :
اين آسيب پذيري روي Mode 6 با كد آسيب پذيري CVE-2016-9310 است كه براي اجراي حملات DOS و DDOS مورد استفاده قرار ميگيرد .
مراحل بررسي:
1- در قدم اول با استفاده از ابزار هاي اسكن آسيب پذيري مانند Nesuse و OpenVas و … روي تجهيزات خو اسكن انجام دهيد ، تا از صحت اين آسيب پذيري آگاه شويد.
2- اين آسيب روي دستگاه هاي سويچ سيسكو وجود دارد كه ميتوان با محدود سازي دسترسي ها و تعريف ACL روي تجهيزات در برابر اين آسيب پذيري جلو گيري كرد.
3- به سويچ سيسكو خود با ابزار هاي مانند putty لاگين كنيد.(با يك يوزر با سطح دسترسي بالا لاگين كنيد زيرا قرار است تنظيماتي اعمال كنيد)
4- با استفاده از دستور زير متوجه شويد آيا NTP فعال است .
(يعني بررسي فعال بودن ntp) show ntp status
show
اگر خروجي unsynchronized يا no reference clock نمايش داد اين يعني روي سويج فعال نيست يا با سرور NTP ارتباط برقرار نكرده است .
يا با استفاده از دستور روبه رو تنظيمات ست شده سرور NTP را روي سويچ مشاهده كنيد.
show ntp associations
5- حالا در اين مرحله روي سويچ مورد نظر NTP Server را ست ميكنيم.
conf t
ntp server (ip ntp server)
end
6-
دیدگاهتان را بنویسید