NTP-Port-Anleitung: Zeitsynchronisierung auf UDP 123

Ein NTP-Client sendet regelmäßig eine Anfrage an einen oder mehrere Zeitserver über UDP 123. Der Server gibt Zeitstempel zurück, mit denen der Client Offset, Verzögerung und Jitter abschätzen kann. Anschließend passt der Client seine lokale Uhr an, ohne störende Sprünge zu machen, es sei denn, die Abweichung ist zu groß.

NTP-Bereitstellungen sind häufig in Schichten angeordnet. Stratum 0 ist eine Referenzuhr wie GPS oder eine Atomquelle. Server der Schicht 1 stellen eine direkte Verbindung zu diesen Referenzen her, und Server der unteren Schicht verteilen die Zeit weiter im Netzwerk. Die meisten Organisationen sollten vertrauenswürdige Upstream-Quellen nutzen und internes NTP für ihre eigenen Systeme bereitstellen.

Ein NTP-Client benötigt ausgehenden Zugriff auf UDP 123 in Richtung seiner konfigurierten Zeitquellen. Ein NTP-Server benötigt eingehendes UDP 123 von den Clients, die er bedienen soll. Dabei handelt es sich um verschiedene Firewall-Fragen, deren Verwechslung eine häufige Ursache für eine fehlerhafte Zeitsynchronisierung ist.

Workstations und Anwendungsserver fungieren normalerweise nur als Clients. Domänencontroller, Netzwerk-Zeitgeräte, Überwachungsinfrastruktur und interne Zeit-Hubs können als Server für den Rest der Flotte fungieren.

Erlauben Sie ausgehendes UDP 123 von Systemen, die mit vertrauenswürdigen externen oder internen Zeitquellen synchronisiert werden müssen. Lassen Sie eingehendes UDP 123 nur auf Servern zu, die absichtlich NTP für bekannte Clients bereitstellen.

Setzen Sie einen NTP-Server nicht umfassend dem Internet aus, es sei denn, er wird absichtlich als öffentlicher Zeitdienst mit Kapazitäts-, Ratenbegrenzung, Überwachung und Missbrauchskontrollen betrieben. Falsch konfiguriertes öffentliches NTP kann für Reflection- und Amplification-Angriffe missbraucht werden.

Bevor Sie UDP 123 zulassen, entscheiden Sie, welche Systeme Clients, welche Systeme Server sind und welchen Upstream-Zeitquellen vertrauenswürdig ist. Bestätigen Sie, ob Ihre Umgebung chrony, systemd-timesyncd, ntpd, den Windows-Zeitdienst, eine Domänenhierarchie oder eine dedizierte Appliance verwendet.

Ein Port-Checker kann bei der Erreichbarkeit helfen, aber die Zeitsynchronisierung muss auch auf Protokoll- und Uhrebene überprüft werden. Verwenden Sie chronyc, ntpq, w32tm, timedatectl oder Überwachungsdaten, um Offset, Stratum, Quellenauswahl und Drift zu bestätigen.

In Windows-Domänen synchronisiert der Windows-Zeitdienst normalerweise Domänenmitglieder über die Domänenhierarchie, wobei der PDC-Emulator für vertrauenswürdige Upstream-Quellen konfiguriert ist. Eigenständige Windows-Server können mit w32tm und Firewall-Regeln für UDP 123 konfiguriert werden, wenn sie Zeit haben.

Unter Linux ist chrony in modernen Distributionen üblich, während ntpd und systemd-timesyncd auch erscheinen. Konfigurieren Sie vertrauenswürdige Pools oder interne Server, lassen Sie UDP 123 nur zu, wenn der Host Zeit bereitstellt, und überwachen Sie Offset und Quellenzustand.

Auf Netzwerkgeräten, Punktschaltern, Routern, Firewalls und Geräten an internen NTP-Quellen, sofern möglich. Eine genaue Gerätezeit macht Protokolle, Zertifikate, VPNs und Vorfalluntersuchungen weitaus zuverlässiger.

Überprüfen Sie zunächst, ob UDP 123 zwischen dem Client und dem vorgesehenen Zeitserver erreichbar ist. Überprüfen Sie dann die tatsächliche Synchronisierung mit Chronyc-Tracking, Chronyc-Quellen, ntpq -p, timedatectl timesync-status oder w32tm /query /status, je nach Plattform.

Wenn Sie einen NTP-Server betreiben, testen Sie ihn von einem bekannten Client-Netzwerk aus und stellen Sie sicher, dass nicht autorisierte Netzwerke ihn nicht abfragen können. Beobachten Sie bei internetbasierten Diensten das Anforderungsvolumen und die Antwortmuster, da die Erreichbarkeit allein keine sichere Konfiguration beweist.

Wenn NTP nicht synchronisiert, ist der Client möglicherweise von UDP 123 blockiert, verwendet den falschen Server, lehnt eine Quelle aufgrund eines hohen Offsets ab oder kann den Hostnamen des Zeitservers nicht auflösen. Virtuelle Maschinen können auch driften, wenn Hostzeit, Gasttools und NTP miteinander konkurrieren.

Wenn ein Server erreichbar ist, die Clients aber immer noch abweichen, überprüfen Sie Stratum, Sprungstatus, Quellenauswahl, Firewall-Status, NAT-Verhalten und ob mehrere Zeitsysteme gleichzeitig konfiguriert sind. Überprüfen Sie bei Windows-Domänen die Zeithierarchie der Domäne, bevor Sie jeden Host einzeln ändern.

Beschränken Sie, wer Ihre NTP-Server abfragen kann, deaktivieren Sie veraltete Befehle mit hoher Verstärkung, halten Sie die NTP-Software auf dem neuesten Stand und überwachen Sie ungewöhnliche Datenverkehrsspitzen. Bevorzugen Sie die interne Zeitverteilung, anstatt jeden Host zufällige öffentliche Server abfragen zu lassen.

Verwenden Sie für wichtige Umgebungen mehrere vertrauenswürdige Zeitquellen, warnen Sie bei übermäßigem Zeitversatz, dokumentieren Sie den maßgeblichen Zeitpfad und beziehen Sie die Zeitsynchronisierung in die Überprüfung der Reaktion auf Vorfälle ein. Eine schlechte Zeit kann Zertifikate, Authentifizierung, Protokollkorrelation und geplante Jobs beschädigen.