Bundesamt für Sicherheit in der Informationstechnik

G 3.102 Fehlerhafte Zeitsynchronisation bei virtuellen IT-Systemen

Gängige Betriebssysteme verfügen über eine eigene interne Uhr. Die Uhrzeit wird dabei vom Betriebssystem in der Regel durch die Zählung von Prozessorzyklen und den gelegentlichen Abgleich mit einer verlässlichen Zeitquelle, wie einem Zeitserver oder einer internen Hardware-Uhr, ermittelt. Der Zeitpunkt und die Häufigkeit der Synchronisation mit der verlässlichen Zeitquelle hängt dabei vom verwendeten Betriebssystem ab.

Gastbetriebssysteme in virtuellen Umgebungen haben jedoch keine Kontrolle und Kenntnis über die tatsächlich verbrauchte Rechenzeit auf dem physischen IT -System. Die Berechnung der aktuellen Uhrzeit über die abgearbeiteten Rechenschritte als Taktgeber ist daher unzuverlässig. Je nachdem, mit welchem Algorithmus die Uhrzeit aus dem Vergleich von Prozessorzyklen und verlässlicher Zeitquelle ermittelt wird, kann die Uhr eines virtuellen IT-Systems der tatsächlichen Zeit nachlaufen oder vorauseilen. In Extremfällen kann es sogar dazu führen, dass die Uhr des Betriebssystems rückwärts läuft. Dies kann zu unerwünschten Effekten führen, die sich unter ungünstigen Umständen erheblich auf die Sicherheit der virtuellen Infrastruktur auswirken.

Beispielsweise sind Zeitstempel etwa im Dateisystem einer virtuellen Maschine mit einer falsch laufenden Uhr unzuverlässig. In der Folge können Inkonsistenzen in der Datensicherung entstehen, wenn diese über die Zeitstempel des Dateisystems ermittelt, welche Dateien zu sichern sind.

Auch die Fehlersuche bei Problemen wird nachhaltig behindert, da die zeitliche Abfolge der Ereignisse, die zu dem Problem geführt haben, nicht zuverlässig ermittelbar ist. Überdies sind beweiskräftige Aussagen bei Sicherheitsvorfällen mit inkorrekten Zeitstempeln in Ereignisprotokollen schlimmstenfalls unmöglich, da die Korrelation von Ereignissen über die Zeitstempel nicht möglich ist.

Werden in virtuellen IT-Systemen Verfahren zur Authentisierung genutzt, die auf korrekten Zeitstempeln für die Übermittlung von Authentisierungsschlüsseln basieren (z. B. Kerberos), können Anmeldungen fehlschlagen.

Verschiedene verteilte Datenbanksysteme und Verzeichnisdienste wie Active Directory nutzen Zeitstempel zur Konsistenzprüfung bei Replikationsvorgängen. Sind diese Zeitstempel unzuverlässig, können Inkonsistenzen in diesen Systemen auftreten.

Beispiel:

Ein Unternehmen hat sich für den Fernzugang für Telearbeiter für eine auf Token basierende Authentisierungsmethode entschieden. Auf den Token werden in bestimmten zeitlichen Abständen regelmäßig neue Passphrasen erzeugt, die zusammen mit dem Benutzernamen und dem Passwort eingegeben werden müssen. Die Token, die von den Benutzern mitgeführt werden, sind mit einer internen Uhr ausgestattet, die mit der Uhrzeit des Authentisierungsservers synchronisiert ist.

Nachdem der Authentisierungsserver virtualisiert wurde, können sich die Benutzer nach kurzer Zeit nicht mehr anmelden, da die angezeigten Einmalpasswörter nicht mehr mit denen auf dem Authentisierungsserver übereinstimmen. Die Ganggenauigkeit der Uhr in der virtuellen Umgebung reicht dazu nicht aus.

Stand: 12. EL Stand 2011