Los servidores de tiempo no son equipos o servidores con múltiples aplicaciones tradicionales. Al contrario, los servidores de tiempo tienen una función única y muy específica: distribuir una hora fiable y precisa.
A continuación se presentan las etapas recomendadas para mejor proteger un servidor de tiempo Netsilon en una red privada, instalada detrás de un cortafuegos.
Cambiar la contraseña por defecto
Los servidores de tiempo Netsilon se configuran con una contraseña de salida de fábrica. Esta contraseña se debe modificar durante la instalación. En general, ninguna otra persona que el administrador de red necesita conectarse al servidor de tiempo.
Desactivar los protocolos inútiles
A continuación se presenta la lista de protocolos listos para instalar, configurados por defecto al salir de fábrica en cada servidor de tiempo Netsilon:
- HTTP
- HTTPS
- SNMP
- SSH
- TELNET
- NTP
- PTP (opción)
- TIME
- DAYTIME
Se recomienda desactivar todos los demás protocolos inútiles. Para cualquier información adicional, véase el manual de usuario Netsilon:https://www.bodet-time.com/es/asistencia/documentaciones/servidor-de-tiempo.html
Cifrar las sesiones
La conexión al sistema siempre debe llevarse a cabo mediante SSH (Secure Shell). Por consiguiente, se debe desactivar Telnet.
Utilizar la autenticación
Todos los clientes NTP deben utilizar la autenticación MD5 y desactivar el acceso NTP para cualquier host que no utilice la autenticación. Por defecto, los servidores de tiempo Netsilon están configurados para responder a las solicitudes de los clientes NTP que pueden utilizar o no la autenticación MD5. Se recomienda modificar las claves MD5 por defecto, configuradas en fábrica, y configurar los clientes para utilizar las mismas claves de autenticación MD5.
Limitar el acceso
Numerosos clientes NTP tendrán acceso al servidor de tiempo mediante uno de los protocolos de sincronización, como por ejemplo, el protocolo NTP. Para ello, sólo el administrador de red debe tener un acceso directo al servidor de tiempo, que debe tener uno o dos clientes. Para razones sensibles de seguridad, se recomienda eliminar todos los protocolos inútiles (excepto elprotocolo NTP y cualquier otro protocolo de sincronización utilizado) y utilizar el puerto local RS-232 para configurar y vigilar el servidor de tiempo Netsilon.
Bloquear el acceso al teclado
Se recomienda bloquear la configuración desde la interfaz. Esto bloquea cualquier acceso no autorizado al servidor de tiempo Netsilon.
Firmware y software
Para garantizar el mejor funcionamiento posible, se recomienda actualizar periódicamente el servidores de tiempo Netsilon con la última versión del firmware disponible.
Para ello, Bodet sube periódicamente nuevas versiones de firmware que permiten abordar las diferentes vulnerabilidades, corregir los bugs conocidos y mejorar el producto.
Asimismo, hace falta asegurarse de que los clientes NTP siempre estén actualizados. Entonces, es necesario configurar todos los clientes para utilizar la autenticación MD5 como mencionado anteriormente.
Guardar los registros de evento
El registro es imprescindible para las depuraciones. Desempeña un papel importante durante investigaciones para identificar las intrusiones en un equipo. Gracias a la supervisión Syslog, los servidores de tiempo Netsilon pueden transmitir los registros de eventos ocurridos hacia un servidor dedicado. Se recomienda altamente utilizar la supervisión Syslog. Una de las ventajas es poder registrar el evento y la dirección IP de una persona que intente acceder al equipo.
Nuestros servidores de tiempo pueden sincronizarse con la señal de radio ALS162 para ofrecer una sincronización con la hora legal francesa.
