¿Es posible causar un ataque de DOS en un dominio falsificando la solicitud NTP del DC?

2

Según esta página :

  

Tenga en cuenta que el Protocolo de tiempo de red (NTP) no está autenticado, y   sin cifrar, y es posible que un intruso falsifique la raíz del tiempo   fuente, lo que hace que el tiempo incorrecto se establezca en el DC.

Ahora de acuerdo con un artículo sobre la configuración de los servidores de tiempo para los controladores de dominio, la pérdida de servicio puede ser causada cuando cambia el tiempo en un controlador de dominio:

  

Active Directory no puede funcionar correctamente (o no funciona) si el reloj no está   sincronizados alrededor de los controladores de dominio / máquinas miembro.

     

Por ejemplo, en Kerberos V5, computadoras que duran más de 5 minutos   fuera de sincronización no se autenticará (lo cual es configurable por GPO:   Tolerancia máxima para la sincronización del reloj de la computadora en computadora   Configuración \ Configuración de Windows \ Configuración de seguridad \ Cuenta   Políticas \ Política Kerberos).

     

Otro ejemplo es la replicación, Active Directory usa sellos de tiempo para   resolver conflictos de replicación.

Digamos que un atacante está sentado en una red y por cualquier motivo decide falsificar el tráfico NTP y provocar un ataque de DOS. Potencialmente, los usuarios no podrían acceder a algunas bases de datos, iniciar sesión en sus máquinas y podrían ocurrir una variedad de otras cosas. ¿Se han realizado comprobaciones para tal cosa o el servidor asume que el administrador del sistema utiliza IPsec / otras medidas de seguridad, como lo sugiere el primer artículo? ¿Se romperían algunas cosas al instante, como las bases de datos, mientras que las lápidas Kerberos o AD tardarían un tiempo en causar problemas?

Soy bastante nuevo para jugar con dominios, esto es algo que me preguntaba al solucionar un problema de tiempo en una red.

    
pregunta cutrightjm 15.12.2014 - 21:10
fuente

1 respuesta

2

Sí, en teoría, podría interrumpir significativamente Kerberos (que es sensible al tiempo) bloqueando el tiempo o enviando respuestas extrañas en respuesta a las solicitudes. Esta es la razón por la que AD se ha movido al tiempo autenticado y, en su mayoría, ha abandonado el SNTP. Tenga en cuenta que el NTP (en el que se basan el tiempo autenticado y el SNTP) utiliza el conteo de quórum, por lo que tendría que interrumpir múltiples fuentes de tiempo o respuestas falsas de la mayoría de las fuentes de tiempo.

    
respondido por el DTK 15.12.2014 - 21:27
fuente

Lea otras preguntas en las etiquetas