"Cisco geeft onhandig beveiligingsadvies omtrent NTP"
Cisco raadt in haar trainingen, zoals CCNP en CCSP, aan om zoveel mogelijk onnodige services uit te schakelen, waaronder NTP, en dat kan juist heel nadelig zijn. "Expliciet noemen zij hierbij NTP. Al is het zonder meer waar dat NTP mogelijk misbruikt kan worden door hackers, lijkt het dat Cisco de keerzijde van de medaille volledig mist", zo laat een bezorgde lezer ons weten.
Immers is het niet gebruiken van NTP een juridisch probleem; wanneer ten gevolge van een hack (-poging) juridische stappen moeten worden ondernomen, dan is het handig indien logfiles tijdens een rechtzaak als bewijsmateriaal gebruikt kunnen worden.
Wanneer er echter wordt nagelaten om NTP te gebruiken, dan is niet aantoonbaar dat de timestamps in de logfiles correct zijn, waardoor de logfiles juridisch gezien waardeloos zijn geworden. "Een beter advies lijkt dan ook om NTP wel te gebruiken, maar om toegang tot de service via access-lists zo af te schermen, dat buitenstaanders hier geen toegang toe kunnen krijgen."
We hebben Cisco om een reactie gevraagd, maar die liet weten dat dit vandaag niet zou lukken. Er volgt dus nog een update op dit artikel.
CCNP / Implementing Secure Converged Wide Area Networks (ISCW) Student Guide, Vol. 2, Version 1.0
worden als er ook gebruik gemaakt kan worden van een externe
ntp server? de service kan dan lokaal uitgeschakeld worden.
gebruik maakt van een externe ntp server kan de ntp service
ongebruikt blijven.
Cisco apparaat gebruik maakt van externe NTP servers voor het synchroniseren van de tijd kan de lokale NTP service gewoon uitgeschakeld worden.
Kwestie van zoeken naar alternatieve oplossingen dus.
altijd de genoteerde tijd in twijfel trekken, of achteraf
roepen dat je al die tijd keurig NTP hebt gebruikt. Het is
aan de rechter om de geloofwaardigheid van de beweringen van
de partijen te wegen.
In
[url=http://blog.iusmentis.com/2007/10/12/chatlogs-als-bewijs-bij-ruzie-over-geldschuld/]deze
zaak[/url] werd een logfile van een MSN sessie gebruikt om
het bestaan van een geldschuld te bewijzen. NTP komt in de
hele zaak niet naar voren. Toch werd de log als geldig
bewijs aanvaard.
[url=http://www.iusmentis.com]Arnoud Engelfriet[/url]
Op een client kan je de server uitzetten.
Indien het Cisco apparaat gebruik maakt van externe NTP
servers voor het synchroniseren van de tijd kan de lokale
NTP service gewoon uitgeschakeld worden.
Overigens doelt deze slide, en rewired, op de server mode van NTP. Zolang NTP in client mode gebruikt wordt op je router kan iedereen vast wel weer slapen ;)
http://www.oreilly.com/catalog/hardcisco/chapter/ch10.html
Ik zie niets onhandigs aan het advies van Cisco. Indien het
Cisco apparaat gebruik maakt van externe NTP servers voor
het synchroniseren van de tijd kan de lokale NTP service
gewoon uitgeschakeld worden.
Kwestie van zoeken naar alternatieve oplossingen dus.
Cisco-apparaat toegang heeft tot de externe NTP-server...
De juridische kant snap ik even niet. Bij logfiles kun je
altijd de genoteerde tijd in twijfel trekken, of achteraf
roepen dat je al die tijd keurig NTP hebt gebruikt. Het is
aan de rechter om de geloofwaardigheid van de beweringen van
de partijen te wegen.
In
[url=http://blog.iusmentis.com/2007/10/12/chatlogs-als-bewijs-bij-ruzie-over-geldschuld/]deze
zaak[/url] werd een logfile van een MSN sessie gebruikt om
het bestaan van een geldschuld te bewijzen. NTP komt in de
hele zaak niet naar voren. Toch werd de log als geldig
bewijs aanvaard.
[url=http://www.iusmentis.com]Arnoud Engelfriet[/url]
bewijs dient om een bepaalde omstandigheid vast te kunnen
stellen. Daar komt het niet op exacte timing in seconden
aan, maar meer om het totale plaatje dat van de verdachte
geschtst kan worden.
Overigens heeft het gebruik van NTP niets te maken met
security, maar alles met de mogelijkheid om after the fact
events te kunnen correleren. En dat hoeven helemaal geen
security events te zijn, maar kunnen ook andere zaken zijn.
Unified NTP door je netwerk heen is een goed idee, maar
iedere cisco doos als NTP server gebruiken is een slecht idee.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.