Comment le protocole horaire du réseau fait fonctionner Internet

Voici quelque chose de cool auquel vous n'auriez peut-être pas pensé: la prochaine génération d'appliances communes est susceptible de se voir attribuer des adresses IP IPv6. Cela signifie que votre réfrigérateur sera en mesure de vous avertir lorsque vous êtes sur le point de manquer de lait, et votre poêle peut sauver la journée en vous signalant que votre dîner est sur le point d'être brûlé. Pour ce faire, ces appareils auront besoin d'une source fiable de référence temporelle. Le Network Time Protocol (NTP) offrira exactement cela et très probablement à partir d'une horloge atomique quelque part en amont.

Ce n'est pas un problème de proportions qui changent la vie si vous ne pouvez pas avoir de lait avec votre café du matin (même si cela se sent parfois de cette façon!), Mais si le NTP échoue de manière spectaculaire, certains systèmes beaucoup plus critiques peuvent échouer en conséquence. Ici, nous allons jeter un œil à NTP, où il est utilisé et ce qu'il contrôle. Vous serez surpris d'apprendre à quel point ce petit protocole est courant.

NTP: un protocole essentiel

À peu près tout ce qui est connecté à Internet utilise NTP pour synchroniser son horloge, ou si ce n'est pas le cas, son logiciel a probablement un paramètre lui permettant d'utiliser NTP. Les smartphones, les serveurs et les commutateurs ne sont que quelques-uns des nombreux appareils connectés à Internet qui dépendent du temps pour effectuer des opérations critiques telles que l'instanciation de sauvegardes ou la recherche de mises à jour de sécurité. Et lorsque NTP ne fonctionne pas correctement, le résultat peut être le chaos.

Lorsque NTP échoue

Un problème séculaire qui est toujours vu sur certains systèmes d'exploitation plus anciens est le donner ou prendre saisonnier d'une heure, communément appelé heure d'été. Le décalage d'une heure, lorsqu'il est soudainement introduit sur un serveur occupé, par exemple, peut provoquer des problèmes à plusieurs niveaux. Le serveur peut être confondu avec la date de création ou de dernière écriture d'un fichier. Cela peut entraîner toutes sortes d'erreurs, entraînant l'échec des services. En outre, les tâches planifiées - telles que l'analyse du système de fichiers à la recherche de logiciels malveillants ou de virus - peuvent s'exécuter à nouveau bien qu'elles soient déjà terminées. Si cette tâche est gourmande en ressources, le résultat sera des performances de serveur moins qu'optimales. Pour de nombreuses entreprises, telles que les sites Web de commerce électronique, cela peut avoir un impact significatif sur le résultat net.

Au risque d'alarmer (le bogue Y2K me vient à l'esprit), un certain "problème de seconde intercalaire" a effectivement causé des dégâts. En juillet 2012, Reditt, Gawker, Mozilla et d'autres grands sites ont connu des problèmes techniques et des pannes après qu'une seule seconde a été retirée des horloges atomiques du monde. Vous pouvez voir que les grandes entreprises ont ressenti la perte d'une seule seconde et ces problèmes de sensibilité au temps ne sont pas seulement l'apanage des petites entreprises sans les ressources pour déployer des mesures préventives à l'avance.

La communauté NTP

Alors, comment le Network Time Protocol se propage-t-il sur Internet? Cela remonte à une époque où Internet était une communauté plus fiable. Sans entrer dans trop de détails techniques, considérez que les horloges atomiques, généralement considérées comme les types de pièces d'horlogerie les plus précises (et relativement réalisables), se situent au sommet d'une hiérarchie, comme le montre l'image ci-dessous.

Source: http://commons.wikimedia.org/wiki/User:Bdesham

La hiérarchie fonctionne initialement par confiance, ou localité, pourrait-on dire. La strate 0 est le niveau suivant sous l'horloge atomique et est généralement un serveur de temps connecté directement à cette horloge atomique. Ensuite, contrôlés par des règles de pare-feu explicites, certains serveurs peuvent demander l'heure exacte aux machines Stratum 0.

Pour qu'il n'y ait jamais trop de charge sur ces machines, elles se connectent de manière sélective aux serveurs NTP de confiance en dessous (au moins en termes de hiérarchie), appelés serveurs Stratum 1, etc. En utilisant ce modèle, toute personne disposant d'un ordinateur sur Internet peut se connecter à un ou plusieurs (plusieurs sont souvent utilisés pour la fiabilité en cas de défaillance d'un serveur NTP) qui ont récemment reçu une heure précise d'une horloge atomique.

Sécuriser NTP

De nombreuses entreprises gèrent leurs propres serveurs de temps dans l'intérêt de la sécurité, car une perturbation claire, large et indésirable est possible si un groupe clé de serveurs d'entreprise reçoit le mauvais moment.

En conséquence, la plupart des implémentations modernes de NTP peuvent être complètement sécurisées à un niveau impressionnant, donnant confiance aux administrateurs système et réseau. Il ne fait cependant aucun doute que certaines opérations nécessitent une sécurité et une cryptographie encore plus strictes, ce qui garantit le plus possible que le serveur se connectant à un précieux serveur NTP, éventuellement sensible à la charge, est correctement identifié comme étant de confiance. De plus amples informations sur le cryptage des échanges NTP sont disponibles sur le site ntp.org.

En tant que protocole utilisé presque partout, NTP a un bilan relativement bon pour les bogues de sécurité, mais tout ce qui est utilisé aussi largement que ce protocole est toujours sujet à des exploits.

Un point dans le temps

Lorsque vous considérez qu'IPv6 a un si grand nombre d'adresses IP dans son pool d'allocation, vous pouvez voir pourquoi les fabricants tentent de connecter un nombre croissant d'appareils à Internet pour bénéficier de fonctionnalités supérieures. Vous pouvez être certain que NTP jouera un rôle important dans chacune des versions logicielles de ces appareils. En ce qui concerne les équipements électroniques modernes de toutes formes et tailles, un point dans le temps économise neuf. (à propos d'IPv6 dans The Trouble With IPv6.)