For English version click here.

NTP Server: Wie funktioniert ein Zeitserver?

09.11.2020        IT-Sicherheit
NTP Server: Wie funktioniert ein Zeitserver?
Shutterstock ID 112162556

NTP Server dienen der Zeitsynchronisation von IT-Systemen. Dazu werden Zeitstempel übertragen. Der Abgleich dieser Zeitstempel ist eines der wichtigsten Säulen der Datenübertragung. Die Kommunikation eines NTP Servers basiert auf dem Network Time Protocol (NTP). 

Was bedeutet NTP?

NTP steht für Network Time Protocol und ist eines der elementaren Protokolle der Maschinen- bzw. Netzwerkkommunikation. Bei der Übertragung funktioniert das Protokoll als Zeitstempel und synchronisiert Uhrzeiten verschiedener Systeme bis auf die Nanosekunde genau. NTP ist seit 1985 im Einsatz - mittlerweile in seiner vierten Version NTPv4. Der Referenzwert für das Protokoll ist die koordinierte Weltzeit (UTC). Neben NTP werden auch eine Reihe weiterer Protokolle zur Synchronisation von Zeitstempeln verwendet. 

Was ist ein NTP Server?

NTP Server werden auch Zeitserver genannt. Diese Art Server liefert seinen Clients einen synchronisierten Zeitstempel. Darin besteht sein einziger Zweck. Grundsätzlich unterscheidet man zwei Typen:

  • Lokale NTP Server, die einem Host zur Verfügung stehen
  • Öffentliche NTP Server, die als offene Ressource zur Verfügung stehen

Häufig dient ein lokaler NTP Server dazu, den jeweiligen Host und seine Clients zu synchronisieren. Dazu ist keine hohe Rechenleistung oder kein umfangreicher Arbeitsspeicher erforderlich. Neben einem NTP Server werden deshalb oft noch weitere Server auf demselben Host betrieben. 

Ein NTP Server bezieht seinen Zeitstempel von der koordinierten Weltzeit. Diese wird mithilfe eines GPS-Empfängers oder einer Funkuhr abgerufen. Wenn kein lokaler NTP Server verfügbar ist, können Hosts Zeitstempel von öffentlichen Zeitservern beziehen. Ein Zusammenschluss dieser öffentlichen Server wird auch Pool oder Cluster genannt.

NTP Server in Deutschland

Die amtliche Zeit in Deutschland wird von der Atomuhr der Physikalisch-Technischen Bundesanstalt (PTB) in Braunschweig vorgegeben. Sie dient als Referenzwert. Eventuelle Abweichungen zur lokalen Zeit Ihres Endgeräts können Sie hier prüfen. Wie viele andere Schwesterinstitute betreibt das PTB öffentliche Zeitserver, die eine Synchronisation erlauben. 

Außerdem bieten Dienstleister im Bereich Telekommunikation oder Universitäten öffentliche Zeitserver. Durch Missbrauchsfälle in den vergangenen zwei Jahrzehnten ist die Anzahl öffentlicher NTP Server allerdings gesunken. 

Globale NTP Pools

Initiativen wie das NTP Pool Project bieten Zeitsynchronisation mithilfe eines öffentlichen Clusters aus NTP Servern. Den Pool kann grundsätzlich jeder nutzen. Relevant ist er für Nutzer, die keinen verlässlichen Zeitstempel von einem lokalen Provider zur Verfügung haben. Grundsätzlich gilt, dass Zeitstempel präziser sind, je näher ein Server lokalisiert ist. In Deutschland kann die Konfiguration de.pool.ntp.org genutzt werden. Zur richtigen Konfiguration müssen Sie noch die richtigen Ports für NTP öffnen. Eine Anleitung bieten die jeweiligen Pool-Betreiber.

Gleichzeitig können Server-Betreiber dem Pool ihre eigenen Ressourcen zur Verfügung stellen. So wird der Pool konstant erweitert.

Stratum: Hierarchie der Zeitstempel

Wie genau ist ein Zeitstempel wirklich? Um eine Aussage darüber zu treffen, kommt es auf Nanosekunden an. Bei jeder Übertragung kommt es zu kleinen Ungenauigkeiten. Abweichungen werden größer, je öfter der Zeitstempel weitergegeben wird. 

Ein wichtiger Schlüsselbegriff, um die Präzision einer Synchronisation zu qualifizieren, ist Stratum oder Strata (im Plural). Stratum heißt nichts anderes als Schicht. Mit jeder zusätzlichen Schicht bzw. Übertragung steigt auch die Wahrscheinlichkeit für Fehler und Abweichung zur koordinierten Weltzeit. Je weniger Strata, desto geringer die erwartete Abweichung. 

Durch den Stratum-Wert wird jeder Zeitstempel bewertet. Mögliche Stratum-Werte liegen zwischen 1 und 15. Die höchste Hierarchie erhält den Wert 1, die geringste 15. Auch diese Variable wird bei der Übertragung eines Zeitstempels mitgeliefert. Je nach Voreinstellung des Clients führt der Stratum-Wert zu Problemen: Ist der Wert des Senders zu hoch, lehnt der Empfänger die Synchronisation ab.

Vereinfachtes Beispiel 

Ein physikalischer NTP Zeitserver B bezieht seinen Referenzwert direkt von der koordinierten Weltzeit A. Ein weiterer Webserver C, der auf demselben Host wie B betrieben wird, ruft den Zeitstempel von B ab. Die Clients D des Webservers beziehen ihre Zeitstempel wiederum vom Webserver.

A → B → C → D

  • Weltzeit A: Stratum 0
  • NTP Server B: Stratum 1
  • Webserver C: Stratum 2
  • Client D: Stratum 3

Der Zeitstempel, den ein Client erhält, wird zwangsläufig kleine Abweichungen von der Weltzeit verzeichnen. Die Genauigkeit wird daher mit Stratum 3 bewertet.

NTP Server und Cyberattacken

NTP Server können für DDoS-Attacken missbraucht werden. Diese Gefahr betrifft häufig ältere Modelle, die keine Konfiguration der Funktionen erlauben. 

Angreifer nutzen den monlist Befehl aus: Dieser fordert den Zeitserver auf, die letzten 600 IP-Adressen zu übermitteln, die eine Synchronisation angefordert haben. Die Antwort des NTP Servers enthält also eine Liste. Das Antwort-Datenpaketes ist deshalb um ein Vielfaches größer als die Anfrage selbst. Dieser sogenannte Amplification-Faktor kann bei NTP Server über 500 liegen.

Jetzt schützen

Damit ein Angriff nicht den Täter selbst trifft, muss dieser Traffic umgeleitet werden. Dazu fälscht er die IP-Quelladresse der Anfrage (IP Spoofing). Im Anschluss antwortet der NTP Server auf die Fake-IP und übertragt große Datenpakete.

NTP als gefährlicher Verstärker

Genau aus diesem Grund sind öffentliche NTP Server in Verruf geraten: Die einfache Verstärkungsmethode (amplification DDoS Attacke) funktioniert besonders einfach, wenn Täter auf einen ganzen NTP Pool zugreifen können. Jeder einzelne Server kann mithilfe eines Botnets mit Anfragen bedient werden, ohne dass eine große Rechnerleistung benötigt wird. Als Folge wird das Opfer mit einer Flut riesiger Datenpakete beschossen. 

Schutz vor Missbrauch des eigenen NTP Servers

Um der Gefahr auf Server-Ebene vorzubeugen, muss die monlist Funktion deaktiviert werden. Dies ist bei alten Versionen nicht immer möglich. Deshalb ist ein Update der ntpd Version (mindestens 4.2.7p26) der erste Schritt. Das BSI bietet dazu eine kurze Anleitung.

Der Schutz auf Seiten eines potenziellen Opfers ist wesentlich komplexer. Werden NTP responses zum Beispiel auf die Blacklist einer Firewall gesetzt, ist auch eine Synchronisation der Uhrzeit nicht mehr möglich. Eine professionelle DDoS-Schutzlösung kann eine NTP Attacke allerdings abwehren.

Neueste Blogbeiträge

Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.

Informiert bleiben!

Link11 Blog abonnieren mit News zum Unternehmen, IT-Security, Cybercrime

Link11GmbH​

Folgen Sie Link11 auf Twitter