Este artículo fue publicado originalmente en el blog Netnod. Lo compartimos aquí con permiso de Netnod.
Muchas de las herramientas de seguridad más importantes de Internet dependen de la precisión horaria. Pero hasta hace poco no existía ninguna forma de garantizar que la hora indicada procedía de una fuente fiable. El estándar de seguridad de tiempo de red (NTS, por sus siglas en inglés) se ha diseñado para solucionar dicho problema. En este artículo vamos a resumir los desarrollos más importantes del estándar NTS y a incluir un enlace a una serie de artículos recientes de Netnod con más información sobre los antecedentes, el estándar NTS y las últimas implementaciones.
¿Qué es el estándar NTS y por qué es tan importante?
El estándar NTS es un desarrollo esencial del protocolo de tiempo de red (NTP, por sus siglas en inglés). Se ha desarrollado en el Grupo de Trabajo de Ingeniería de Internet (IETF, por sus siglas en inglés) y añade una capa de seguridad muy necesaria a un protocolo que tiene más de 30 años y es vulnerable ante determinados tipos de ataque. Netnod ha desempeñado un papel importante en el desarrollo del protocolo de seguridad de tiempo de red (NTS) desde la iniciativa de estandarización en el IETF hasta el desarrollo de varias implementaciones y el lanzamiento de uno de los primeros servicios NTP del mundo con NTS integrado.
El estándar NTS consta de dos protocolos, esto es, un intercambio de clave y un NTP ampliado. Esto garantiza que los clientes puedan validar que la hora que reciben se ha enviado desde el servidor correcto. Aquí encontrarás información más detallada sobre el funcionamiento del estándar NTS y por qué es importante. Aquí también incluimos una publicación reciente de RIPE Labs al respecto.
El estándar NTS y el IETF
En marzo de 2020, se aprobó el borrador de Internet «Seguridad de tiempo de red para el protocolo de tiempo de red» como estándar propuesto, según el cual el estándar NTS es «un mecanismo para usar el protocolo de seguridad de la capa de transporte (TLS, por sus siglas en inglés) y el cifrado autenticado con datos asociados (AEAD, por sus siglas en inglés) para ofrecer seguridad criptográfica al modo cliente-servidor del protocolo de tiempo de red (NTP)”. Actualmente está en cola de edición de RFC a la espera de publicación tras los cambios pertinentes.
Implementaciones NTS
El 28 de octubre de 2019 Netnod lanzó uno de los primeros servicios NTP del mundo con NTS integrado. Está a disposición del público en la siguiente dirección:
- nts.ntp.se (para usuarios de cualquier parte del mundo)
- nts.sth1.ntp.se & nts.sth2.ntp.se (para usuarios cerca de Estocolmo)
Aquí encontrarás más información sobre este servicio. Netnod también ha publicado dos GUÍAS que explican cómo configurar un cliente NTS y cómo conectarse a los servidores NTS de Netnod aquí. Estos son algunos de los clientes NTP actuales compatibles con NTS (dos de los cuales fueron escritos por el personal de Netnod):
- ntpsec (escrito por Eric Raymond)
- Una implementación de Python (escrita por Christer Weinigel de Netnod)
- Una implementación de Go (escrita por Michael Cardell Widerkrantz (Netnod), Daniel Lublin y Martin Samuelsson)
Netnod les ha pedido a Joachim Strömbergson y Peter Magnusson de Assured que trabajen en una implementación de Verilog de NTP ampliado. A finales de año se publicará más información al respecto.
¿Por qué usar el tiempo de Netnod?
La autoridad de telecomunicaciones y servicios postales de Suecia (PTS, por sus siglas en inglés) encarga a Netnod el mantenimiento de una implementación NTP de Verilog con relojes atómicos integrados que funcionan en varios lugares de Suecia. ¡Esto significa que el protocolo NTP se comunica directamente con el chip FPGA! Como no se utiliza software, se obtiene la indicación horaria más precisa posible. El servicio está disponible gratis al público general de todo el mundo en ntp.se, compatible con cualquier dirección IPv4 e IPv6.
En un artículo reciente de su blog, Netnod analizó algunos de los principios fundamentales para indicar una hora precisa. Estos incluyen ver en qué consiste un reloj, cómo garantizar la precisión hasta el nivel de nanosegundos y qué está haciendo Netnod para garantizar una precisión horaria en Suecia.
Internet Society cree que la seguridad de la infraestructura de sincronización horaria de Internet tiene una repercusión directa en la fiabilidad general de la red global de Internet. Trabajamos para fomentar la implantación global de los protocolos de seguridad de tiempo y promover las buenas prácticas operativas. Échale un vistazo a la página de inicio del proyecto Time Security para conocer todos los detalles sobre nuestro trabajo.