Bundesamt für Sicherheit in der Informationstechnik

M 4.227 Einsatz eines lokalen NTP-Servers zur Zeitsynchronisation

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

In vielen Situationen ist es bei vernetzten Systemen wichtig, dass alle bei einem Vorgang betroffenen Rechner eine korrekte Systemzeit besitzen. Insbesondere bei der Auswertung von Protokollierungsinformationen ist dies von zentraler Bedeutung, beispielsweise um Fehlermeldungen, die auf einen Angriff über das Netz hindeuten, richtig korrelieren zu können, oder wenn bei Anwendungen, die über mehrere Rechner verteilt sind, Synchronisationsprobleme auftreten. Auch verteilte Dateisysteme und zentrale Authentisierungsdienste sind auf Zeitsynchronizität angewiesen.

Für die korrekte Einstellung der Systemzeit bieten die meisten Betriebssysteme die Möglichkeit, über das Protokoll NTP (Network Time Protocol Version 3, RFC 1305) oder SNTP (Simple Network Time Protocol Version 4, RFC 2030) auf einen externen Zeitserver zuzugreifen. Windows-Rechner in einer Active Directory Infrastruktur gleichen zudem die Systemzeit mit dem Domänencontroller ab.

Im Internet existiert eine verteilte Infrastruktur von öffentlichen NTP Zeitservern. In Deutschland bieten beispielsweise die Physikalisch-Technische Bundesanstalt (PTB) in Braunschweig und verschiedene Universitäten einen solchen Dienst an.

Da NTP ein Klartextprotokoll ohne kryptographische Sicherungen ist, sollte es nur innerhalb des eigenen Netzes eingesetzt werden. Falls die Zeitserver-Infrastruktur im Internet genutzt werden soll, so sollte dafür ein eigener Rechner vorgesehen werden, der als einziger die NTP-Informationen von den ausgewählten Zeitservern bezieht. Die Rechner im lokalen Netz synchronisieren ihre Systemuhr dann mit dem lokalen NTP-Proxy. Am Sicherheitsgateway sollte NTP in diesem Fall nur für den NTP-Proxy-Server freigeschaltet werden. Insbesondere in Netzen mit hohem Schutzbedarf sollten keinesfalls alle Geräte individuell per NTP direkt Anfragen an Zeitserver im Internet stellen.

Alternativ kann ein Rechner im internen Netz mit einem Funkuhr-Modul ausgestattet als lokaler Zeitserver eingesetzt werden. Im Zweifelsfall sollte dieser Lösung der Vorzug gegeben werden.

Falls für die Zeitsynchronisation auf externe Quellen (Funkuhren, öffentliche NTP-Zeitserver, etc.) zurückgegriffen wird, muss sichergestellt werden, dass die empfangenen Zeit-Informationen nicht ungeprüft übernommen werden. Die Software des lokalen Zeit-Servers beziehungsweise NTP-Proxys muss eine Plausibilitätsprüfung vornehmen, bevor sie die empfangenen Zeit-Informationen übernimmt und an die anderen Rechner im Netz weitergibt. Ein Beispiel für eine solche Plausibilitätsprüfung ist, dass sprunghafte Änderungen, die eine vorher festgelegte maximale Zeitdifferenz überschreiten, nicht übernommen werden.

Prüffragen:

  • Erfolgt der NTP -Abgleich der Sicherheitsgateways ausschließlich mit einem zentralen NTP -Proxyserver?

  • Findet eine regelmäßige Plausibilitätsprüfung der empfangenen Zeit-Informationen auf dem NTP -Proxy statt, bevor diese übernommen und weitergegeben werden?

  • Werden NTP-Informationen durch einen eigenen NTP-Proxyserver zur Verfügung gestellt, welcher sich regelmäßig mit der Zeitserver-Infrastruktur im Internet oder durch ein Funkuhr-Modul abgleicht?

Stand: 13. EL Stand 2013