menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2025
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Служба времени как основа доверия: NTP, защита от подмены и единые настройки домена

лонгриды
13.01.2023
09/12/25
Б-152
Лонгриды
События /
Служба времени как основа доверия: NTP, защита от подмены и единые настройки домена
В современной корпоративной инфраструктуре, где каждая миллисекунда может быть критична для расследования инцидента или работы механизмов аутентификации, служба времени перестала быть просто «сетью часов». Она превратилась в стратегический актив безопасности. 
В этой статье мы рассмотрим, почему атаки на NTP представляют прямую угрозу бизнесу, как правильно выстроить защиту с использованием российских доверенных источников времени и почему единое доверенное время является фундаментом для всей системы информационной безопасности.
Введение. Когда время — не деньги, а безопасность
Угрозы реального мира. Чем атакуют NTP и к чему это приводит
Содержание
Архитектура защиты. Строим неприступную службу времени
Active Directory. Единое время как клей доменной среды
Нормативное соответствие. Почему это важно
Заключение. Время — это доверие
Введение. Когда время — не деньги, а безопасность
Угрозы реального мира. Чем атакуют NTP и к чему это приводит
Содержание
Архитектура защиты. Строим неприступную службу времени
Active Directory. Единое время как клей доменной среды
Нормативное соответствие. Почему это важно
Заключение. Время — это доверие
Представьте ситуацию: в организации произошел инцидент — утечка данных. Специалисты по ИБ собирают логи с файрволов, серверов, систем DLP. Но при попытке восстановить хронологию событий выясняется, что временные метки на разных устройствах расходятся на минуты, а то и часы. Расследование превращается в кошмар. Эта ситуация лишь одна из многих, где некорректное время саботирует работу службы безопасности.

Введение. Когда время — не деньги, а безопасность

Служба NTP (Network Time Protocol) — это критический компонент, отказ или компрометация которого ведет к каскадным сбоям в системах аутентификации, криптографии и мониторинга.

Угрозы реального мира. Чем атакуют NTP и к чему это приводит

Атаки на службу времени можно разделить на две основные категории.
1. Атаки на доступность: NTP как оружие
  • NTP Amplification DDoS. Это классическая атака с использованием открытых NTP-серверов. Злоумышленник отправляет на сервер небольшой запрос с подмененным IP-адресом источника (на адрес жертвы). Сервер в ответ отправляет жертве огромный объем данных. Коэффициент усиления может достигать 1000x и более. Последствия: ваша инфраструктура может быть использована для атаки на третьи лица, а ваши каналы связи будут перегружены.
  • Прямой Flood. Массовая отправка легитимных NTP-запросов для перегрузки самого сервера времени, что приводит к его отказу и десинхронизации всех зависимых систем.
2. Атаки на целостность: Подмена времени как метод саботажа
  • Time Spoofing/Poisoning. Злоумышленник, находясь внутри сети (MitM) или создав поддельный сервер, навязывает клиентам некорректное время. Последствия катастрофичны:
  • Крах инфраструктуры PKI. Сертификаты TLS/SSL считаются недействительными из-за «просрочки», что парализует веб-сервисы, почту и VPN.
  • Отказ аутентификации. Протокол Kerberos, используемый в Active Directory, жестко привязан ко времени. Расхождение более чем на 5 минут приводит к сбою логинов на доменные ресурсы.
  • Дискредитация доказательств. Логи с некорректными временными метками становятся бесполезными для судебного анализа, что напрямую играет на руку злоумышленнику, скрывающему свои следы (техника MITRE ATT&CK T1070.006 — Timestomp).

Архитектура защиты. Строим неприступную службу времени

Защита NTP — это многоуровневая стратегия, начинающаяся с правильной архитектуры.
Уровень 1: Сетевая изоляция и фильтрация
  • Принцип «Изнутри наружу». Не позволяйте тысячам устройств напрямую обращаться к публичным NTP-серверам. Разверните 2−3 внутренних сервера времени (стратум 2) в защищенном сегменте сети.
  • Строгая фильтрация. Настройте межсетевые экраны так, чтобы разрешать исходящий NTP-трафик (UDP/123) только с ваших серверов к доверенным внешним источникам. Входящий NTP-трафик из интернета должен быть заблокирован для всех, кроме ваших серверов. Это мгновенно нейтрализует риск использования вашей сети в DDoS-атаках.
Уровень 2: Харденинг NTP-серверов
  • Ликвидация «монлистов». В конфигурационном файле ntp. conf обязательно добавьте директиву disable monitor или используйте restrict … noquery. Это отключает опасные команды, используемые в amplification-атаках.
  • Политика контроля доступа. Используйте директиву restrict для тонкой настройки.
  • Аутентификация трафика. Для критичных систем настройте аутентификацию NTP с использованием симметричных ключей или Autokey. Это гарантирует, что клиенты будут принимать время только от доверенных, криптографически подтвержденных серверов.
Уровень 3: Диверсификация и мониторинг с использованием российских источников
  • Не кладите все яйца в одну корзину. Настройте ваши серверы на синхронизацию с 4−6 разнородными внешними источниками, отдавая приоритет российским доверенным серверам. Алгоритм NTP автоматически отбросит «выбивающийся» источник.
  • Российские доверенные источники времени:
  • Официальные серверы ВНИИФТРИ (Всероссийский научно-исследовательский институт физико-технических и радиотехнических измерений):
— ntp1.vniiftri.ru, ntp2.vniiftri.ru, ntp3.vniiftri.ru, ntp4.vniiftri.ru
— Прямое подключение к государственному эталону времени, максимальная точность и доверие
  • Региональные серверы:
– ntp.sstf.nsk.ru (Новосибирск, Сибирский государственный университет телекоммуникаций и информатики)
– ntp1.niiftri.irkutsk.ru (Иркутск)
– Географическое распределение повышает отказоустойчивость
  • Российский пул NTP:
– 0.ru.pool.ntp.org, 1.ru.pool.ntp.org, 2.ru.pool.ntp.org, 3.ru.pool.ntp.org
– Автоматическая балансировка нагрузки между множеством серверов
  • Инфраструктурные серверы:
— ntp. msk-ix.ru (Московская точка обмена трафиком)
— ntp.cloud.ru (для пользователей облачных сервисов)
— Высокая доступность и стабильность
# Пример строгой конфигурации в ntp. conf
restrict default nomodify notrap nopeer noquery
#Запретить все по умолчанию
restrict source nomodify notrap noquery
#Ограничить запросы от источников
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
#Разрешить клиентам только синхронизацию
  • Пример конфигурации с российскими серверами:
  • Постоянный контроль. Внедрите мониторинг расхождения времени (clock skew) на критичных серверах и оповещения о его аномальном росте. Регулярно проверяйте логи NTP-серверов на предмет подозрительных запросов.
# Российские доверенные серверы
server ntp1.vniiftri.ru iburst
server ntp2.vniiftri.ru iburst
server ntp.sstf.nsk.ru iburst
server 0.ru.pool.ntp.org iburst
server 1.ru.pool.ntp.org iburst
server ntp. msk-ix.ru iburst

Active Directory. Единое время как клей доменной среды

В инфраструктуре Windows с Active Directory синхронизация времени не просто важна — она обязательна для существования домена.
  • Иерархия времени. Вся доменная среда синхронизируется с PDC-эмулятором, который является главными часами домена. Именно он должен быть точно настроен на получение времени от ваших защищенных внутренних NTP-серверов, синхронизированных с российскими источниками.
  • Команда для принудительной синхронизации. При возникновении расхождений используйте на PDC-эмуляторе команду:
w32tm /config /syncfromflags:manual /manualpeerlist:"ntp1.vniiftri.ru, 0×8 ntp2.vniiftri.ru, 0×8 ntp.sstf.nsk.ru, 0×8" /reliable:yes /update
net stop w32time && net start w32time
w32tm /resync /force
  • Флаг 0×8 указывает на использование NTP вместо простого SNTP.
  • Последствия отказа. Нарушение синхронизации времени в домене приводит к массовым сбоям аутентификации по Kerberos, невозможности входа в систему, ошибкам репликации между контроллерами домена.
Проверьте надежность службы времени в вашей инфраструктуре до того, как это станет уязвимостью
Если вы хотите убедиться, что ваша служба времени не только работает, но и соответствует требованиям безопасности и регуляторным стандартам, давайте обсудим это на консультации.
ОСТАВИТЬ ЗАЯВКУ

Нормативное соответствие. Почему это важно

Использование российских источников времени важно не только с технической, но и с нормативной точки зрения:
  • Для КИИ. Требования к синхронизации времени с российскими эталонами для систем критической информационной инфраструктуры
  • Для обработки ПДн. Обеспечение достоверности временных меток в журналах событий согласно 152-ФЗ
  • Для финансовых организаций. Соответствие требованиям СТО БР ИББС-1.0−2014 (ЦБ РФ)

Заключение. Время — это доверие

Служба времени NTP — это мета-сервис, отказоустойчивость и целостность которого определяют работоспособность десятков других систем безопасности. Инвестируя в построение защищенной и отказоустойчивой архитектуры NTP с использованием российских доверенных источников, вы не просто настраиваете «часы». Вы закладываете фундамент доверия ко всей вашей системе:
  • Доверие к журналам событий для расследования инцидентов.
  • Доверие к механизмам аутентификации для контроля доступа.
  • Доверие к системам шифрования для защиты данных.
  • Доверие регуляторов к вашей системе учета и контроля.
Пренебрежение этим фундаментом создает системную уязвимость, последствия которой проявляются в самый неподходящий момент — в разгар кибератаки, когда каждая секунда на счету. Сделайте время своим союзником в обеспечении безопасности.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Мы регулярно разбираем подобные технические и нормативные кейсы о защите инфраструктуры и времени в нашем Telegram-канале.
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме