¿Qué es el Network Time Security (NTS)?

Historial y evolución de NTS

El desarrollo de NTS ha sido impulsado por la necesidad de mejorar la seguridad de las comunicaciones de sincronización horaria, que antes no estaban aseguradas o lo estaban insuficientemente por NTP. Las primeras proposiciones de especificación del protocolo NTS datan de 2015 y han sido emitidas por Sibold, Roettger y Teichel.

Sin embargo, la especificación definitiva fue publicada en septiembre de 2020, en el estándar RFC 8915 titulado «Network Time Security for the Network Time Protocol». Este documento es el resultado de varios años de trabajo por parte del Grupo de Trabajo de Ingeniería de Internet (IETF).

Operación e implementación de NTS

NTS corrige las deficiencias de NTP en materia de seguridad al proporcionar un mecanismo de autenticación y de cifrado para los paquetes NTP. Este mecanismo garantiza la autenticidad y la integridad de los datos de sincronización horaria entre el cliente y el servidor.

Las tres principales ventajas de NTS:

• Autenticación. NTS utiliza un proceso criptográfico moderno (basado en el uso compartido de claves sobre TLS) para autenticar la fuente de los mensajes NTP. Esto permite garantizar la legitimidad de los servidores que proporcionan la hora de referencia en una red.
• Confidencialidad. NTS cifra el flujo de mensajes usando una variante del algoritmo AES (Advanced Encryption Standard). Este cifrado garantiza la confidencialidad de los intercambios entre los clientes y el servidor de tiempo.
• Protección contra los ataques de reproducción. Esta técnica de ataque contra NTP consiste en interceptar un mensaje emitido por un servidor y reproducirlo al cliente. El formato de los paquetes NTS permite al cliente identificar las reproducciones.

NTS ha sido diseñado como una extensión de NTP, lo que significa que complementa el protocolo existente sin necesitar cambios mayores en la infraestructura existente. Además, los servidores y clientes que soportan el protocolo NTS todavía pueden comunicar con equipos NTP que no lo soportan. En este caso, las conexiones a estos equipos no se beneficiarán de las mejoras de seguridad que ofrece NTS.

La importancia de asegurar la seguridad horaria y de NTS

La precisión horaria es imprescindible para varias operaciones dentro de los sistemas informáticos modernos. Estas operaciones incluyen el registro de los eventos, la sincronización de las transacciones de bases de datos distribuidas y el hecho de asegurar la seguridad de las comunicaciones mediante TLS/SSL.

Antes de que fuera introducido el protocolo NTS por el Grupo de Trabajo de Ingeniería de Internet (IETF), la seguridad de los intercambios NTP representaba un fallo de seguridad potencial en la infraestructura de una organización. NTPv4 ya contaba con mecanismos de seguridad del flujo NTP (ver el estándar RFC 8633), basados en el intercambio de una clave de cifrado simétrico. Sin embargo, el mecanismo de gestión de estas claves, llamado AutoKey, está sujeto a vulnerabilidades críticas y no se recomienda usarlo.

Al usar NTS, las organizaciones ahora pueden mejorar la seguridad de su sincronización horaria. El hecho de usar un mecanismo de criptografía asimétrica permite comprobar la autenticidad de los emisores de mensajes, mientras que el cifrado garantiza la integridad de los datos de tiempo.

Así, al reducir los riesgos de ataques y de manipulación, NTS mejora la confianza de las organizaciones cuyas operaciones dependen de la precisión horaria.

NTS es un hito significativo en el esfuerzo continuo por garantizar la seguridad de las infraestructuras críticas involucradas en la sincronización horaria. Es necesario que los proveedores de servicios horarios, los administradores de red y los fabricantes de aparatos adopten NTS para mejorar la seguridad general de Internet y de las infraestructuras de red de las organizaciones.