NTP-liikenteen rajoitukset?

  • 19 February 2021
  • 3 kommenttia
  • 170 katselukertaa

Käyttäjätaso 3
Kunniamerkki +14

Telian tietoturvatoimenpiteet kertovat mm. seuraavaa:

 

Muita pysyviä tietoturvatoimenpiteitä

  • Verkkoon tulevaa NTP-liikennettä rajoitetaan palvelunestohyökkäysten aikana.

 

Onko NTP-liikenteelle jotain määrällistä rajoitetta kuluttajalittymissä? Mulla on privaattikäytössä stratum 1-tason NTP-palvelin noin 50ns. aikatarkkudella (GPS/rubidium). Tällä hetkellä sillä ei itseni lisäksi ole kuin muutama käyttäjä ihan läpipiirissä. Palvelinta hoitaa kokonaan erillinen dedikoitu sulautettu palvelin suoraan julkisen IP:n takana ja se on ollut siellä jo vuosikaudet, mutta ei kuitenkaan mukana pooleissa joten NTP-kyselyitä ei tule edes joka minuutti.

 

Nyt tuumin tuon serverin liittämistä suomipooliin (fi.pool.ntp.org), mutta epäilyttää että iskeeköhän joku automaattinen limiitteri päälle jos NTP-kyselyitä alkaisi tulla ympäri suomea ihan vaikkapa kymmeniä tai satoja sekunnissa ja ympäri vuorokauden? Palvelin itsessään pystyy palvelemaan ainakin 10000 kyselyä sekunnissa (kuormitustestattu lähiverkossa) ja kapasiteettia voi myös helposti nostaa.

 

Kiinteää IP:tä ei toki saatu joka olisi tälle kaikista paras, mutta voihan sen osoitteen tuonne pooliin aina päivittää, jos se sattuisi vaihtumaankin. Nyt kuitenkin sama IP on pysynyt 2018 vuoden alusta asti eli kolme vuotta, johon viitaten kyseistä hanketta uskaltaa ylipäätään edes harkita.

 

Olisi kiva toteuttaa pitkästä aikaa tällaisia muitakin palvelevia nettihankkeita. Statum 1 tason aikapalvelimet ovat olennainen osa Internetiä, eikä niitä ole suomessa mitenkään liikaa. Harvalla on myöskään intressejä tai resursseja näitä ylläpitää. Mutta ajattelin vähän kysellä Telian mielipidettä ensin. Kieltoahan tuolle ei missään säännöissä näyttäisi olevan, mutta en haluaisi myöskään aiheetta laukoa päälle mitään "tietoturvatoimenpiteitä" ilman todellista tietoturvauhkaa. Ainoa ongelmantapainen voi silti tulla silloin jos IP menee vaihtumaan ja joku onneton saa sen serverillä olleen IP:n itselleen. NTP liikennettä olisi silloin aika rutosti tiedossa, kunnes clientit ehtii päivittää poolista uuden osoitteen.


3 kommenttia


@SINAD@  kirjoitti:

Telian tietoturvatoimenpiteet kertovat mm. seuraavaa:


 


Muita pysyviä tietoturvatoimenpiteitä



  • Verkkoon tulevaa NTP-liikennettä rajoitetaan palvelunestohyökkäysten aikana.


 


Onko NTP-liikenteelle jotain määrällistä rajoitetta kuluttajalittymissä? Mulla on privaattikäytössä stratum 1-tason NTP-palvelin noin 50ns. aikatarkkudella (GPS/rubidium). Tällä hetkellä sillä ei itseni lisäksi ole kuin muutama käyttäjä ihan läpipiirissä. Palvelinta hoitaa kokonaan erillinen dedikoitu sulautettu palvelin suoraan julkisen IP:n takana ja se on ollut siellä jo vuosikaudet, mutta ei kuitenkaan mukana pooleissa joten NTP-kyselyitä ei tule edes joka minuutti.




Mielenkiintoisen kuuloinen projekti 😎> 


Ihan hihasta ravistamalla en osaa tuohon kertoa faktaa, mutta selvittelen asiaa ja palaan tähän ketjuun kun olen asian suhteen viisaampi. 

Tämä onkin hieman monimutkaisempi juttu.


 


Liittymän palveluehdot tämän kieltävät:
"Liittymän kautta ei saa jälleenmyydä Telian toimittamia
palveluja, välittää kolmannen tahon liikennettä eikä
jakaa palvelua kolmansille tahoille. Palvelua ei
myöskään saa käyttää puhelujen pääasialliseen
reitittämiseen eri verkkojen välillä. Ellei asiakas ole
Telian kanssa toisin sopinut, palvelun yhteydessä ei
saa käyttää eikä sen verkkoon saa asentaa palvelimia,
joihin on mahdollisuus ottaa yhteyksiä muualta verkon
kautta. Palvelimen liittäminen normaalia kotikäyttöä
varten on kuitenkin sallittu."


 


Lähtökohtaisesti emme rajoita liikennettä, joka ei aiheuta haittaa meidän verkolle tai asiakkaille. Eli sen puoleen ongelmaa ei ole.


 


Tuossa kuitenkin on potentiaalisia ongelmia, miksi suhtaudumme varauksella tällaisten palvelujen rakentamiseen kuluttajaliittymän perään.
Osa tästä on varmasti sinulle jo tuttua mutta avataan tätä kuitenkin. Eli kuluttajaliittymiin ei saa kiinteää IP:tä ja liittymien viankorjausajat ovat: toimimattomat liittymät 2 päivää ja pätkivät 5 päivää. Lisäksi yhteydessä voi esiintyä katkoksia muutostöistä johtuen. Eli yhteys on suunnattu kotikäyttöön.


 



Dynaaminen IP asettaa myös haasteensa tähän. Jos IP-osoite vaihtuu muutostyössä, vikatilanteessa tai muuten ja IP päätyykin toiselle liittymälle käyttöön ja sitä sitten pommitetaan tuolla NTP-kyselyllä. Tällöin tukitaan herkästi jonkun sivullisen asiakkaan liittymä.



 


Näiden lisäksi on myös vielä tuon poolin ylläpitäjän vaatimukset miksi tuota vielä harkitsisin:
"Palvelimellasi tulee olla kiinteä IP-osoite ja kiinteä Internet-yhteys.
Pooliin liittyminen vaatii pitkän aikavälin sitoutumista. Poistamme mielellämme palvelimesi poolista, mikäli olosuhteesi muuttuvat, mutta johtuen tavasta jolla NTP-asiakkaat toimivat kestää viikkoja, kuukausia tai jopa VUOSIA ennen kuin kaikki liikenne loppuu."










Käyttäjätaso 3
Kunniamerkki +14

No koskas me oikein saataisiin nämä liittymät oikeasti nykyaikaan? Tällainen rajoittaa jo oikeasti luovuutta, kun ei toistuvasti pysty toteuttamaan itseään ja rakentamaan asioita, joita haluaisin rakentaa. Tässäkin olisi ihan yleishyödyllinen juttu kyseessä.

 

Onhan tää nyt älytöntä kun koko ajan on joku tekninen este toteuttaa omia ideoita. Tällainen tappaa kyllä luovuutta melko tehokkaasti. Ei saada kiinteää IP:tä, ei saada symmetristä kaistaa. Sensijaan jotain 5G:tä rummutetaan joka paikassa.

 

Turhauttavaa!

 

Paljonko maksaa kaikista hitain yritysliittymä kiinteällä IP:llä? NTP-serveri ei vaadi kaistaa, jopa 10 Mbit/s liittymä riittäisi kunhan latenssi ja jitteri olisivat pienet, kuten ne kuidulla tapaavat ollakin. Olisi mukava jos tulisitte edes yritysliittymän hinnassa vastaan kun kerran mikään muu ehdotus ei mene koskaan läpi - aina vaan vastaus että ei onnistu. Todella turhauttavaa edes ehdotella mitään! Olen tottunut kehittämään ja luomaan uutta tekniikkaa tähän maailmaan, ei ole mukavaa että asetetaan koko ajan esteitä sille. Kyseisen liittymän ottaisin nykyisen kotikuidun rinnalle, kiinteistökytkimen toiseen porttiin.

 

Noilla korjausajoilla vikatapauksissa ei ole sinänsä mitään väliä, koska kyse on vapaaehtoisvoimin toteutettavasta palvelusta. Raha ei liiku mihinkään muuhun kuin Telialle, kuukausimaksujen hinnassa. Pooleissa homma ei kaadu siihen jos joku palvelin olisi hetkittäin nurin. En itsekään pysty antamaan 100% takuuta täysin häiriöttämälle toiminnalle mutta käytännössä mitä tuo on yksityiskäytössä ollut ainakin 5 vuotta niin häiriöitä siinä on ollut vain kerran kun virtalähde tuli tiensä päähän.

 

EDIT: Yritin tosissaan löytää yritysliittymien hinnastoa, mutta nähtävästi se on suuri salaisuus kun ei sitä mistään löydä. Sen verran näin että alkaen 22,50 eur/kk. Se ei olisi paha, jos siihen hintaan saisi NTP-serverille kiinteän IP:n.

Vastaa