确保Veeam强化存储库免受远程时间攻击

[prisilabr03]

汉尼斯·卡斯帕里克（Hannes Kasparick）
汉尼斯·卡斯帕里克（Hannes Kasparick）
Veeam看到对 不变备份,并且Veeam备份和复制硬化存储库处于提供该存储库的位置。有时人们认为通过网络时间协议（NTP）对Veeam Hardened Repository进行远程时间攻击很容易。错了！即使使用现代NTP客户端的默认设置,它也很复杂。默认设置在运行时（NTPD）期间不允许进行大更改,或者仅允许以小步（历时）更改正在运行的系统。要攻击强化存储库不动产保留,攻击者需要按天,周甚至月或年更改时间。通过为每个默认设置启用这些小的增量时间更改,此类攻击将花费数月或数年。但是,如果攻击者可以在操作系统启动或NTP客户端重新启动期间发送错误的时间信息,则默认设置存在风险。

当然,可以改进默认设置以减少攻击矢量。防止远程时间攻击的最简单方法是使用本地时间。物理服务器时钟的本地时间“足够”以实现不变性（我是 仅 在这里谈论不变性）。免疫时间以天,周,月甚至更长为单位。请记住,GFS恢复点（每周,每月或每年的备份）在整个保留期间都受到保护。这意味着对精确正确时间的要求很低。


对于那些有兴趣以安全的方式设置网络时间的人,请继续阅读。本文介绍了如何保护NTP客户端“尽可能好”,同时要记住,NTP本身是一种容易发生中间攻击的协议。网络时间安全性（NTS）是一个相对较新的协议,可以解决中间 香港电话号码表 人的问题。本文还介绍了如何在Ubuntu Linux上以长期作为NTS客户端和服务器的形式设置NTS基础结构。

快速修复:使用服务器硬件时钟时间
如引言中所述,可以将服务器的本地时钟用作Veeam Hardened Repository的时间源。随着时间的流逝,时间会略微错误—,但这无关紧要,因为最小不变时间为7天,并且“生产级”服务器的时钟“足够好”。我并不是说10岁的服务器电池电量不足,每次启动都会浪费时间！


网络时间协议
当然,对于每个客户而言,本地时间“不够好”。安全和合规性法规可能需要与定义的时间源同步。想要与Veeam Hardened Repository一起运行的客户 SEC 17a-4（f）,FINRA 4511（c）和CFTC 1。31（c）-（d）符合 必须使用安全的时间源（未定义协议）。迪萨斯蒂格 例如,对于Ubuntu 20。04,描述:

对于联网系统,Ubuntu操作系统必须至少每24小时将内部信息系统时钟与同步到冗余的美国海军天文台（USNO）时间服务器之一的服务器或为适当的国防部指定的时间服务器进行比较网络（NIPRNet / SIPRNet）和/或全球定位系统（GPS）。