image

"Cisco geeft onhandig beveiligingsadvies omtrent NTP"

vrijdag 14 december 2007, 15:52 door Redactie, 11 reacties

Cisco raadt in haar trainingen, zoals CCNP en CCSP, aan om zoveel mogelijk onnodige services uit te schakelen, waaronder NTP, en dat kan juist heel nadelig zijn. "Expliciet noemen zij hierbij NTP. Al is het zonder meer waar dat NTP mogelijk misbruikt kan worden door hackers, lijkt het dat Cisco de keerzijde van de medaille volledig mist", zo laat een bezorgde lezer ons weten.

Immers is het niet gebruiken van NTP een juridisch probleem; wanneer ten gevolge van een hack (-poging) juridische stappen moeten worden ondernomen, dan is het handig indien logfiles tijdens een rechtzaak als bewijsmateriaal gebruikt kunnen worden.

Wanneer er echter wordt nagelaten om NTP te gebruiken, dan is niet aantoonbaar dat de timestamps in de logfiles correct zijn, waardoor de logfiles juridisch gezien waardeloos zijn geworden. "Een beter advies lijkt dan ook om NTP wel te gebruiken, maar om toegang tot de service via access-lists zo af te schermen, dat buitenstaanders hier geen toegang toe kunnen krijgen."

We hebben Cisco om een reactie gevraagd, maar die liet weten dat dit vandaag niet zou lukken. Er volgt dus nog een update op dit artikel.


CCNP / Implementing Secure Converged Wide Area Networks (ISCW) Student Guide, Vol. 2, Version 1.0
Reacties (11)
14-12-2007, 17:52 door Anoniem
waarom zou ntp lokaal als service geconfigureerd moeten
worden als er ook gebruik gemaakt kan worden van een externe
ntp server? de service kan dan lokaal uitgeschakeld worden.
14-12-2007, 18:12 door [Account Verwijderd]
[Verwijderd]
14-12-2007, 18:21 door Anoniem
niks onhandigs aan dit advies. indien het cisco apparaat
gebruik maakt van een externe ntp server kan de ntp service
ongebruikt blijven.
14-12-2007, 18:26 door rewired
Ik zie niets onhandigs aan het advies van Cisco. Indien het
Cisco apparaat gebruik maakt van externe NTP servers voor het synchroniseren van de tijd kan de lokale NTP service gewoon uitgeschakeld worden.
Kwestie van zoeken naar alternatieve oplossingen dus.
14-12-2007, 20:19 door Anoniem
Is dat niet een bekende regel " zet niet gebruikte services uit"
14-12-2007, 21:26 door Anoniem
De juridische kant snap ik even niet. Bij logfiles kun je
altijd de genoteerde tijd in twijfel trekken, of achteraf
roepen dat je al die tijd keurig NTP hebt gebruikt. Het is
aan de rechter om de geloofwaardigheid van de beweringen van
de partijen te wegen.

In
[url=http://blog.iusmentis.com/2007/10/12/chatlogs-als-bewijs-bij-ruzie-over-geldschuld/]deze
zaak[/url] werd een logfile van een MSN sessie gebruikt om
het bestaan van een geldschuld te bewijzen. NTP komt in de
hele zaak niet naar voren. Toch werd de log als geldig
bewijs aanvaard.

[url=http://www.iusmentis.com]Arnoud Engelfriet[/url]
14-12-2007, 21:56 door Anoniem
Ntp heeft een server en een client-deel.
Op een client kan je de server uitzetten.
14-12-2007, 22:27 door SirDice
Door rewired
Indien het Cisco apparaat gebruik maakt van externe NTP
servers voor het synchroniseren van de tijd kan de lokale
NTP service gewoon uitgeschakeld worden.
Maar het is juist die NTP service die voor de synchonisatie zorgt. Deze service controleert regelmatig een 'upstream' NTP server en stelt, zo nodig, de tijd op het apparaat bij.

Overigens doelt deze slide, en rewired, op de server mode van NTP. Zolang NTP in client mode gebruikt wordt op je router kan iedereen vast wel weer slapen ;)

http://www.oreilly.com/catalog/hardcisco/chapter/ch10.html
15-12-2007, 01:20 door Arno Nimus
Door rewired
Ik zie niets onhandigs aan het advies van Cisco. Indien het
Cisco apparaat gebruik maakt van externe NTP servers voor
het synchroniseren van de tijd kan de lokale NTP service
gewoon uitgeschakeld worden.
Kwestie van zoeken naar alternatieve oplossingen dus.
Dan ga je er daarbij dus ook van uit dat het betreffende
Cisco-apparaat toegang heeft tot de externe NTP-server...
15-12-2007, 10:03 door Anoniem
Door Anoniem
De juridische kant snap ik even niet. Bij logfiles kun je
altijd de genoteerde tijd in twijfel trekken, of achteraf
roepen dat je al die tijd keurig NTP hebt gebruikt. Het is
aan de rechter om de geloofwaardigheid van de beweringen van
de partijen te wegen.

In
[url=http://blog.iusmentis.com/2007/10/12/chatlogs-als-bewijs-bij-ruzie-over-geldschuld/]deze
zaak[/url] werd een logfile van een MSN sessie gebruikt om
het bestaan van een geldschuld te bewijzen. NTP komt in de
hele zaak niet naar voren. Toch werd de log als geldig
bewijs aanvaard.

[url=http://www.iusmentis.com]Arnoud Engelfriet[/url]
Dat komt omdat in dit geval de chatlog als ondersteunend
bewijs dient om een bepaalde omstandigheid vast te kunnen
stellen. Daar komt het niet op exacte timing in seconden
aan, maar meer om het totale plaatje dat van de verdachte
geschtst kan worden.

Overigens heeft het gebruik van NTP niets te maken met
security, maar alles met de mogelijkheid om after the fact
events te kunnen correleren. En dat hoeven helemaal geen
security events te zijn, maar kunnen ook andere zaken zijn.
Unified NTP door je netwerk heen is een goed idee, maar
iedere cisco doos als NTP server gebruiken is een slecht idee.
19-12-2007, 16:40 door Anoniem
Klok en klepel vrees ik. Het AANBIEDEN van een NTP service
is iets anders dan het AFNEMEN van een NTP dienst.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.