Slo-Tech - Na strežnikih, ki jih poganja Windows Server, se lahko sistemski čas nepričakovano spremeni za več mesecev v preteklosti v prihodnost, kar ima često katastrofalne posledice. Napaka ni zelo pogosta, a se je zgodila že številnim administratorjem, ki so bolj ali manj uspešno lovili krivca. To je funkcija Secure Time Seeding (STS), ki jo je Microsoft z dobrimi nameni uvedel leta 2016, a ne deluje pravilno.
STS bi morala zagotavljati točen čas na sistemih, četudi so ugasnjeni in četudi bi se baterije izpraznile. V takih primerih seveda lahko sistem po ponovnem zagonu za uro vpraša dosegljive strežnike s časom, denimo prek protokola NTP. A Microsoft pojasnjuje, da naprava z nepravilnim časom ne more varno komunicirati po omrežju, da bi izvedela točen čas, ki bi ji omogočil varno komunikacijo. To bi se sicer dalo rešiti s kakšno izjemo, a Microsoft se je odločil, da bo problem rešil drugače. V zahtevkih pri šifrirani komunikaciji (SSL handshake) je tudi polje ServerUnixTime, v katerega naj bi tuji strežnik zapisal svoj čas. To vrednost lahko uporabimo.
Odlična zamisel, so dejali pri Microsoftu, saj lahko iz zadostnega števila takšnih zahtevkov izračunamo povprečen čas, ki je zadosti blizu točnega časa. Kako točno algoritem deluje, Microsoft ne razkriva. Nekje pa so ga polomili, saj včasih strežniki čas nastavijo povsem nerazumno. To se ne zgodi vedno, ko dobijo neumne podatke, kar ni tako redko. Implementacija OpenSSL namreč ne dostavlja točnega časa na strežniku, temveč naključne vrednosti. Microsoft je to vedel in upošteval, a nekje se je zalomilo. Razlog ni nujno OpenSSL, saj ni jasno, kakšne vrednosti ure in pod katerimi pogoji povzročijo kaos. A ko ga povzročijo, je ta precej hud. V ekstremnih primerih se je letnica prestavila za več kot stoletje v prihodnosti.
Rešitev je preprosta. Na strežnikih se lahko Secure Time Seeding izklopi z eno potezo v registru. Microsoft sicer vztraja, da funkcije deluje pravilno, a dodaja, da jo lahko kdorkoli izklopi, če mu ne ustreza.
Novice » Operacijski sistemi » Windows Server včasih skoči stoletje v prihodnost
darkolord ::
Čisto tehnično, RFC za TLS 1.2 pravi:
gmt_unix_time
The current time and date in standard UNIX 32-bit format
(seconds since the midnight starting Jan 1, 1970, UTC, ignoring
leap seconds) according to the sender's internal clock. Clocks
are not required to be set correctly by the basic TLS protocol;
higher-level or application protocols may define additional
requirements. Note that, for historical reasons, the data
element is named using GMT, the predecessor of the current
worldwide time base, UTC.
Nekdo je potem dobil idejo, da jebeš RFC, bomo pošiljali random.
gmt_unix_time
The current time and date in standard UNIX 32-bit format
(seconds since the midnight starting Jan 1, 1970, UTC, ignoring
leap seconds) according to the sender's internal clock. Clocks
are not required to be set correctly by the basic TLS protocol;
higher-level or application protocols may define additional
requirements. Note that, for historical reasons, the data
element is named using GMT, the predecessor of the current
worldwide time base, UTC.
Nekdo je potem dobil idejo, da jebeš RFC, bomo pošiljali random.
LightBit ::
Saj v RFC piše da ni treba da je čas pravilen.
Pravi natančen čas ni varno pošiljati (side-channel napadi).
Pravi natančen čas ni varno pošiljati (side-channel napadi).
WhiteAngel ::
A Windows Server sploh kdo še uporablja? Se mi zdi, da je to tak relikt iz prejšnjega desetletja zdaj ko se dela vse na micro servicih.
eVro ::
... Microsoft sicer vztraja, da funkcije deluje pravilno, ...
Take nesposobneže je treba zamenjat kot usrane gate. Danes pa res ni več izgovorov.
Goran's Blog ::
WhiteAngel je izjavil:
A Windows Server sploh kdo še uporablja? Se mi zdi, da je to tak relikt iz prejšnjega desetletja zdaj ko se dela vse na micro servicih.
Zelo zelo veliko se ga še uporablja.
Pozabljamo, da obstaja še veliko programov z velikimi podatkovnimi bazami katere se še vedno furajo na Windwos serverjih lokalno v firmah.
Zgodovina sprememb…
- spremenil: Goran's Blog ()
Poldi112 ::
WhiteAngel je izjavil:
A Windows Server sploh kdo še uporablja? Se mi zdi, da je to tak relikt iz prejšnjega desetletja zdaj ko se dela vse na micro servicih.
Za AD/GPO, ki so temelj večine organizacij, boš kar lepo potreboval Windows server. Pa za kup ostalih featurjev tudi.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Karamelo ::
WhiteAngel je izjavil:
A Windows Server sploh kdo še uporablja? Se mi zdi, da je to tak relikt iz prejšnjega desetletja zdaj ko se dela vse na micro servicih.
ja na čem pa so postavljeni micro servici? a lahko malo razložiš za neuke
WhiteAngel ::
WhiteAngel je izjavil:
A Windows Server sploh kdo še uporablja? Se mi zdi, da je to tak relikt iz prejšnjega desetletja zdaj ko se dela vse na micro servicih.
ja na čem pa so postavljeni micro servici? a lahko malo razložiš za neuke
Nek lightweight alpine linux nad dockerjem/lxd.
Pač nekaj, kar je dovolj majhno in enostavno za upgradat, delat cow snapshote in migrirat (magari na arm, če žre manj štroma). To, kar ponuja MS, je drago in okorno.
Zgodovina sprememb…
- spremenil: WhiteAngel ()
Karamelo ::
WhiteAngel je izjavil:
WhiteAngel je izjavil:
A Windows Server sploh kdo še uporablja? Se mi zdi, da je to tak relikt iz prejšnjega desetletja zdaj ko se dela vse na micro servicih.
ja na čem pa so postavljeni micro servici? a lahko malo razložiš za neuke
Nek lightweight alpine linux nad dockerjem/lxd.
Pač nekaj, kar je dovolj majhno in enostavno za upgradat, delat cow snapshote in migrirat (magari na arm, če žre manj štroma). To, kar ponuja MS, je drago in okorno.
Ja kaj pa če bi rad Exchange postavil? Verjetno rabiš Windows Server. In vsaka malo večja firma ima danes Exchange.
WhiteAngel ::
WhiteAngel je izjavil:
WhiteAngel je izjavil:
A Windows Server sploh kdo še uporablja? Se mi zdi, da je to tak relikt iz prejšnjega desetletja zdaj ko se dela vse na micro servicih.
ja na čem pa so postavljeni micro servici? a lahko malo razložiš za neuke
Nek lightweight alpine linux nad dockerjem/lxd.
Pač nekaj, kar je dovolj majhno in enostavno za upgradat, delat cow snapshote in migrirat (magari na arm, če žre manj štroma). To, kar ponuja MS, je drago in okorno.
Ja kaj pa če bi rad Exchange postavil? Verjetno rabiš Windows Server. In vsaka malo večja firma ima danes Exchange.
Če želiš ravno MS Exchange, MS AD, MS group policy, MS SQL in MS IIS, potem je Windows Server zate. Boljše vprašanje je, a res rabiš ravno to?
Poldi112 ::
Verjetno rabiš, glede na to, da praktično ne srečaš večje firme, ki bi bila brez vsaj AD-ja.
Kaj konkretno bi pa ti predlagal kot alternativo?
Kaj konkretno bi pa ti predlagal kot alternativo?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Karamelo ::
ne gre za to kaj jest rabim, nekdo je rekel, da tega ni, jaz pa pravim da od naših strank jih ima 95% windows serverje, AD in exchange
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Z OpenVPN-jem ven iz MPLS-ja? (strani: 1 2 )Oddelek: Omrežja in internet | 15651 (14595) | SeMiNeSanja |
» | Po dvajsetih letih se maščuje ranljivost FREAKOddelek: Novice / Varnost | 8277 (4712) | Isotropic |
» | Kritična ranljivost v OpenSSL bi lahko omogočala krajo strežniških zasebnih ključev (strani: 1 2 )Oddelek: Novice / Varnost | 23048 (16697) | Isotropic |
» | Dodatni razvijalci in pregled kode OpenSSL-aOddelek: Novice / Varnost | 14264 (12026) | MrStein |