NTP: Best Practices – die technische Perspektive

Die Nutzung des Internets als Basis für dieses Protokoll bietet viele Vorteile, hat aber auch Nachteile, wie etwa die Tatsache, dass die Server Angriffen von außen ausgesetzt sein können, wie z. B. DDoS-Angriffen (Distributed Denial of Service). Solche Angriffe können ein ganzes Netzwerk lahmlegen und sich erheblich auf die Geschäftstätigkeit eines Unternehmens auswirken.

Für die optimale Konfiguration eines Netzwerks ist es daher unerlässlich, die Möglichkeiten und Funktionen des NTP-Protokolls zu kennen. Mit der richtigen Konfiguration können Sie nicht nur die Vorteile von NTP voll ausschöpfen, sondern sich zudem gegen potenzielle Angriffe schützen.

Die verschiedenen Funktionsweisen des Network Time Protocol

Zum bestmöglichen Schutz ist es wichtig, sich nicht auf öffentliche NTP-Server zu verlassen. Vielmehr sollte das Netzwerk autonom gestaltet werden, indem es über einen zuverlässigen Zeitserver mit einer Referenzquelle wie GPS synchronisiert wird.

NTP kann auf verschiedene Arten betrieben werden:

• Über Unicast: Hierbei handelt es sich um die Standardbetriebsart von NTP: Der Client sendet in regelmäßigen Abständen eine Zeitstempelanfrage an die Server, mit denen er verbunden ist, um seine Uhr zu synchronisieren.
• Über Broadcast: In diesem Fall wird die Synchronisation nicht von den Clients veranlasst, sondern von den Servern, die ihre Zeitstempel periodisch im Netzwerk veröffentlichen. Auf die Server abonnierte Clients können die empfangenen Zeitstempel verwenden, um ihre Uhr zu synchronisieren.
• Über Multicast: Beim Multicast-Modus handelt es sich um eine Variante des Broadcasts, bei der die Server ihre Zeitstempel nicht an das gesamte Netzwerk, sondern lediglich an eine bestimmte Multicast-Adresse senden. Dieser Modus verringert die Netzwerklast geringfügig, erfordert aber Netzwerkgeräte, die multicastfähig sind.
• Über Manycast: Diese neue Betriebsart wurde mit NTPv4 eingeführt. Es handelt sich um eine Multicast-Variante, bei der die Clients die nächstgelegenen Server mithilfe eines speziellen Mechanismus ermitteln. Sobald die Server gefunden sind, bauen die Clients Unicast-Verbindungen zu diesen auf. Durch die strategische Verteilung der Server im Netzwerk kann die Last jedes Servers zur Optimierung des Netzwerks aufgeteilt werden. Diese letzte Form der Verteilung ist die neueste und wurde im Hinblick auf die größte Effizienz entwickelt. Somit ist dieser Broadcast-Modus zu bevorzugen, wenn man über die entsprechende Hardware verfügt, um ihn einzurichten. Voraussetzung ist, dass alle Geräte NTPv4 betreiben können.

Unabhängig davon, für welche Art der Übertragung von Zeitstempeln Sie sich entscheiden, sollten Sie sich unbedingt die Zeit nehmen, Ihr Netzwerk zu sichern, um sich vor Angriffen zu schützen.

Eine bekannte und ausführlich dokumentierte Schwachstelle betrifft die NTP Control Messages, den sogenannten Mode 6. Ist die Kommunikation im Netzwerk nicht authentifiziert, können zahlreiche Informationen abgerufen oder ein Amplifikationsangriff innerhalb des NTP-Netzwerks gestartet werden. Sie sollten die NTP-Server auf eine gepatchte Version aktualisieren, die einen entsprechenden Schutz bietet. Oder – noch einfacher – die Control Messages deaktivieren, um sicherzugehen, dass Sie gegen diese Sicherheitslücke immun sind.

Grundsätzlich ist es eine gute Praxis beim Einrichten eines NTP-Netzwerks den Datenaustausch durch Authentifizierung der Kommunikation zu sichern. So wird verhindert, dass sich Angreifer als ein Rechner im Netzwerk ausgeben. Die Authentifizierung von NTP-Nachrichten im Netzwerk bietet Schutz vor einer Vielzahl von Angriffen. Bei neueren Geräten ist sie standardmäßig aktiviert.

Um sich vor einer möglichen Korrumpierung einzelner Server zu schützen, können NTP-Server miteinander gepaart werden. Ein derartiger „Peer-to-Peer“-Modus ermöglicht es NTP-Geräten, gleichzeitig als Client und Server zu fungieren. Dies kann nützlich sein, um den Zeitversatz eines Servers zu erkennen.

Unabhängig von der gewählten Betriebsart und den Maßnahmen, die zur Abwehr von Angriffen ergriffen werden, sollte das eigene Netzwerk sorgfältig überwacht werden. So wird man bei verdächtigem Verhalten benachrichtigt und kann schnellstmöglich reagieren. Es gibt verschiedene Lösungen, um ein Zeitnetzwerk zu überwachen. Entscheidend ist dabei, die Störung einer oder mehrerer Uhren in signifikanter Weise so früh wie möglich erkennen zu können. Durch die Überwachung des NTP-Verkehrs in Ihrem Netzwerk können Sie ungewöhnlichen Datenverkehr problemlos aufspüren, bevor er sich negativ auswirken kann.

Grundsätzlich ist es ratsam, sich an die Best Current Practice (BCP, siehe RFC2827) zu halten, um sich gegen DDoS-Angriffe zu schützen. Das RFC-Dokument 8633 präsentiert wiederum bewährte Verfahren, die für das NTP-Protokoll umgesetzt werden sollten – sowohl mit Blick auf die Sicherheit als auch auf andere Aspekte.

Um die Vorteile des NTP-Protokolls voll auszuschöpfen und eine effiziente und sichere Zeitsynchronisation zu gewährleisten, sollten Sie sich im Vorfeld Gedanken über die Konfiguration Ihres NTP-Netzwerks machen. Bei Beachtung einiger Vorsichtsmaßnahmen und wenn man sich die Zeit nimmt, die richtigen Sicherheitsvorkehrungen zu treffen, ist ein Schutz vor den meisten Angriffen, einschließlich DDoS-Attacken (Distributed Denial of Service), möglich. Zugleich lässt sich eine qualitativ hochwertige Zeitsynchronisation mit minimalem Ressourceneinsatz erreichen.