Categories
Fortalecimiento de Internet Seguridad de tiempo

Trabajo colaborativo para mejorar las implementaciones emergentes del protocolo de seguridad de tiempo de red

La seguridad y precisión horaria es indispensable para la fiabilidad y seguridad de Internet. La mayoría de los sistemas que utilizamos habitualmente dependen de la precisión horaria para funcionar correctamente. La precisión horaria también se traduce en unos pilares sólidos para la seguridad online y numerosos mecanismos de seguridad como, por ejemplo, los certificados digitales empleados para la seguridad de la capa de transporte (TLS, por sus siglas en inglés) dependen del mantenimiento de registros horarios precisos. El protocolo de tiempo de red (NTP, por sus siglas en inglés) permite sincronizar los relojes de los ordenadores de red.

Los mecanismos de seguridad del protocolo NTP se desarrollaron en una época en la que la mayor parte del tráfico de Internet era fiable y el riesgo de ataque era mínimo. Como consecuencia de la expansión exponencial permanente de Internet, estos mecanismos quedaron obsoletos y hubo que rediseñarlos. El Grupo de trabajo de ingeniería de Internet (IETF, por sus siglas en inglés) lleva ya varios años trabajando en una especificación para el protocolo de seguridad de tiempo de red (NTS, por sus siglas en inglés). Esta especificación fue aprobada por el Grupo de control de ingeniería de Internet (IESG, por sus siglas en inglés) en marzo de este año y se encuentra actualmente en proceso de edición RFC para la publicación final. A lo largo de los dos últimos años, se han llevado a cabo una serie de proyectos NTS como parte de las hackatones del IETF. Estos proyectos se han dedicado a identificar errores y ambigüedades en la especificación y a probar y mejorar la interoperatividad entre implementaciones.

Colaboración de la comunidad dedicada a los protocolos de tiempo

Recientemente, como parte de la 108 hackatón virtual del IETF, tuvo lugar otro evento exitoso dedicado a este asunto. Representantes de varias organizaciones como chrony, Cloudflare, Netnod, Orolia, la Universidad de Ciencias Aplicadas de Ostfalia, el Instituto Nacional de Metrología de Alemania (PTB, por sus siglas en alemán) e Internet Society participaron en el proyecto del protocolo de seguridad de tiempo de red (NTS) en julio de 2020. Al final de la semana, se produjeron 13 instalaciones de seis implementaciones de servidor NTS diferentes. Estas implementaciones de servidor se probaron en cinco implementaciones cliente diferentes y se apreciaron mejoras en el desarrollo y la interoperatividad de las implementaciones de cliente y servidor NTS.

Además, lo más destacable de la iniciativa fue la contribución de la primera herramienta de prueba NTS. Esta herramienta fue una contribución de Miroslav Lichvar y permitió comprobar el cumplimiento de la especificación por parte de la implementación, así como la realización de varias pruebas básicas de rendimiento. Aquí puedes ver una breve presentación de los resultados del proyecto NTS en la 108 hackatón virtual del IETF.

Compatibilidad NTS

En estos momentos existen dos implementaciones NTP de código abierto muy utilizadas que se han añadido la compatibilidad NTS: chrony y NTPsec. Además, existen implementaciones NTS de código abierto de Netnod, Ostfalia y Cloudflare. El proyecto Seguridad horaria de Internet Society está creando un banco de pruebas distribuido con algunas de estas implementaciones para ofrecer más oportunidades de prueba e implementación a toda la comunidad.

Si quieres más información:


Imagen de Josh Redd vía Unsplash

Categories
Fortalecimiento de Internet Seguridad de tiempo

Todo lo que debes saber sobre el estándar de seguridad de tiempo de red

Este artículo fue publicado originalmente en el blog Netnod. Lo compartimos aquí con permiso de Netnod.

Muchas de las herramientas de seguridad más importantes de Internet dependen de la precisión horaria. Pero hasta hace poco no existía ninguna forma de garantizar que la hora indicada procedía de una fuente fiable. El estándar de seguridad de tiempo de red (NTS, por sus siglas en inglés) se ha diseñado para solucionar dicho problema. En este artículo vamos a resumir los desarrollos más importantes del estándar NTS y a incluir un enlace a una serie de artículos recientes de Netnod con más información sobre los antecedentes, el estándar NTS y las últimas implementaciones.

¿Qué es el estándar NTS y por qué es tan importante?

El estándar NTS es un desarrollo esencial del protocolo de tiempo de red (NTP, por sus siglas en inglés). Se ha desarrollado en el Grupo de Trabajo de Ingeniería de Internet (IETF, por sus siglas en inglés) y añade una capa de seguridad muy necesaria a un protocolo que tiene más de 30 años y es vulnerable ante determinados tipos de ataque. Netnod ha desempeñado un papel importante en el desarrollo del protocolo de seguridad de tiempo de red (NTS) desde la iniciativa de estandarización en el IETF hasta el desarrollo de varias implementaciones y el lanzamiento de uno de los primeros servicios NTP del mundo con NTS integrado.

El estándar NTS consta de dos protocolos, esto es, un intercambio de clave y un NTP ampliado. Esto garantiza que los clientes puedan validar que la hora que reciben se ha enviado desde el servidor correcto. Aquí encontrarás información más detallada sobre el funcionamiento del estándar NTS y por qué es importante. Aquí también incluimos una publicación reciente de RIPE Labs al respecto.

El estándar NTS y el IETF

En marzo de 2020, se aprobó el borrador de Internet “Seguridad de tiempo de red para el protocolo de tiempo de red” como estándar propuesto, según el cual el estándar NTS es “un mecanismo para usar el protocolo de seguridad de la capa de transporte (TLS, por sus siglas en inglés) y el cifrado autenticado con datos asociados (AEAD, por sus siglas en inglés) para ofrecer seguridad criptográfica al modo cliente-servidor del protocolo de tiempo de red (NTP)”. Actualmente está en cola de edición de RFC a la espera de publicación tras los cambios pertinentes.

Implementaciones NTS

El 28 de octubre de 2019 Netnod lanzó uno de los primeros servicios NTP del mundo con NTS integrado. Está a disposición del público en la siguiente dirección:

  1. nts.ntp.se (para usuarios de cualquier parte del mundo)
  2. nts.sth1.ntp.se & nts.sth2.ntp.se (para usuarios cerca de Estocolmo)

Aquí encontrarás más información sobre este servicio. Netnod también ha publicado dos GUÍAS que explican cómo configurar un cliente NTS y cómo conectarse a los servidores NTS de Netnod aquí. Estos son algunos de los clientes NTP actuales compatibles con NTS (dos de los cuales fueron escritos por el personal de Netnod):

  1. ntpsec (escrito por Eric Raymond)
  2. Una implementación de Python (escrita por Christer Weinigel de Netnod)
  3. Una implementación de Go (escrita por Michael Cardell Widerkrantz (Netnod), Daniel Lublin y Martin Samuelsson)

Netnod les ha pedido a Joachim Strömbergson y Peter Magnusson de Assured que trabajen en una implementación de Verilog de NTP ampliado. A finales de año se publicará más información al respecto.

¿Por qué usar el tiempo de Netnod?

La autoridad de telecomunicaciones y servicios postales de Suecia (PTS, por sus siglas en inglés) encarga a Netnod el mantenimiento de una implementación NTP de Verilog con relojes atómicos integrados que funcionan en varios lugares de Suecia. ¡Esto significa que el protocolo NTP se comunica directamente con el chip FPGA! Como no se utiliza software, se obtiene la indicación horaria más precisa posible. El servicio está disponible gratis al público general de todo el mundo en ntp.se, compatible con cualquier dirección IPv4 e IPv6.

En un artículo reciente de su blog, Netnod analizó algunos de los principios fundamentales para indicar una hora precisa. Estos incluyen ver en qué consiste un reloj, cómo garantizar la precisión hasta el nivel de nanosegundos y qué está haciendo Netnod para garantizar una precisión horaria en Suecia.

Internet Society cree que la seguridad de la infraestructura de sincronización horaria de Internet tiene una repercusión directa en la fiabilidad general de la red global de Internet. Trabajamos para fomentar la implantación global de los protocolos de seguridad de tiempo y promover las buenas prácticas operativas. Échale un vistazo a la página de inicio del proyecto Time Security para conocer todos los detalles sobre nuestro trabajo.

Categories
Generar confianza Mejorar la seguridad técnica Seguridad de tiempo

Sincronización de tiempo, seguridad y confianza

El tiempo es algo que a menudo se pasa por alto o se da por sentado, pero la exactitud y la fiabilidad del tiempo es fundamental para nuestras vidas y debe ser protegido. Los sistemas informáticos distribuidos, clave para muchas funciones inherentes a nuestra vida cotidiana, se basan en un tiempo preciso y confiable, sin embargo raramente nos detenemos y pensamos en cómo se construye y representa ese tiempo. Se necesita tiempo preciso y confiable para determinar cuándo ocurre un evento, en qué orden se produce una secuencia de eventos en particular o cuándo programar un evento que ocurrirá en un momento determinado en el futuro. Por último, y de especial interés para nuestro programa de confianza aquí en la Internet Society , se requiere tiempo confiable y de calidad para muchas de las tecnologías de seguridad que ayudan a confiar en Internet. Es una parte vital ya menudo pasada por alto de la infraestructura de Internet. Usted puede leer más en Inglés y acceder a los enlaces con presentaciones sobre el tema del tiempo sincronizado en el mismo articulo. 

Leer más en Inglés….