NTP-poortgids: tijdsynchronisatie op UDP 123

Een NTP-client verzendt periodiek een verzoek naar een of meer tijdservers via UDP 123. De server retourneert tijdstempels waarmee de client offset, vertraging en jitter kan inschatten, waarna de client zijn lokale klok aanpast zonder storende sprongen te maken, tenzij de drift te groot is.

NTP-implementaties zijn vaak gerangschikt in strata. Stratum 0 is een referentieklok zoals GPS of een atomaire bron. Servers uit Stratum 1 maken rechtstreeks verbinding met deze referenties, terwijl servers uit lagere lagen de tijd verder in het netwerk verdelen. De meeste organisaties moeten vertrouwde upstream-bronnen gebruiken en interne NTP aan hun eigen systemen leveren.

Een NTP-client heeft uitgaande toegang tot UDP 123 nodig voor de geconfigureerde tijdbronnen. Een NTP-server heeft inkomende UDP 123 nodig van de clients waarvoor deze moet dienen. Dat zijn verschillende firewallvragen, en het door elkaar halen ervan is een veelvoorkomende bron van verbroken tijdsynchronisatie.

Werkstations en applicatieservers fungeren doorgaans alleen als clients. Domeincontrollers, netwerktijdapparatuur, monitoringinfrastructuur en interne tijdhubs kunnen als servers voor de rest van de vloot fungeren.

Sta uitgaande UDP 123 toe van systemen die moeten synchroniseren met vertrouwde externe of interne tijdbronnen. Sta inkomende UDP 123 alleen toe op servers die opzettelijk NTP aanbieden aan bekende clients.

Stel een NTP-server niet algemeen bloot aan internet, tenzij deze opzettelijk wordt gebruikt als een openbare tijddienst met capaciteit, snelheidsbeperking, monitoring en misbruikcontroles. Verkeerd geconfigureerde publieke NTP kan worden misbruikt voor reflectie- en versterkingsaanvallen.

Voordat u UDP 123 toestaat, moet u beslissen welke systemen clients zijn, welke systemen servers zijn en welke upstream-tijdbronnen worden vertrouwd. Controleer of uw omgeving chrony, systemd-timesyncd, ntpd, Windows Time Service, een domeinhiërarchie of een speciaal apparaat gebruikt.

Een poortcontrole kan helpen bij de bereikbaarheid, maar de tijdsynchronisatie moet ook worden geverifieerd op protocol- en klokniveau. Gebruik chronyc-, ntpq-, w32tm-, timedatectl- of monitoringgegevens om offset, stratum, bronselectie en drift te bevestigen.

Op Windows-domeinen synchroniseert Windows Time Service doorgaans domeinleden via de domeinhiërarchie, waarbij de PDC-emulator is geconfigureerd tegen vertrouwde upstream-bronnen. Standalone Windows-servers kunnen worden geconfigureerd met w32tm en firewallregels voor UDP 123 wanneer ze tijd gebruiken.

Op Linux is chrony gebruikelijk op moderne distributies, terwijl ntpd en systemd-timesyncd ook voorkomen. Configureer vertrouwde pools of interne servers, sta UDP 123 alleen toe als de host tijd beschikbaar stelt, en controleer de offset- en bronstatus.

Op netwerkapparaten, puntschakelaars, routers, firewalls en apparaten bij interne NTP-bronnen waar mogelijk. Nauwkeurige apparaattijd maakt logboeken, certificaten, VPN's en incidentonderzoeken veel betrouwbaarder.

Controleer eerst of UDP 123 bereikbaar is tussen de client en de beoogde tijdserver. Controleer vervolgens de daadwerkelijke synchronisatie met chronyc-tracking, chronyc-bronnen, ntpq -p, timedatectl timesync-status of w32tm /query /status, afhankelijk van het platform.

Als u een NTP-server gebruikt, test dan vanaf een bekend clientnetwerk en bevestig dat ongeautoriseerde netwerken dit niet kunnen opvragen. Voor internetgerichte diensten moet u het verzoekvolume en de reactiepatronen in de gaten houden, omdat bereikbaarheid alleen geen veilige configuratie bewijst.

Als NTP niet synchroniseert, kan de client worden geblokkeerd voor UDP 123, wordt de verkeerde server gebruikt, wordt een bron afgewezen vanwege een hoge offset, of kan de hostnaam van de tijdserver niet worden omgezet. Virtuele machines kunnen ook afdrijven als hosttijd, gasttools en NTP met elkaar in gevecht zijn.

Als een server bereikbaar is maar de clients nog steeds afdrijven, inspecteer dan de stratum, de sprongstatus, de bronselectie, de firewallstatus, het NAT-gedrag en of er meerdere tijdsystemen tegelijk zijn geconfigureerd. Voor Windows-domeinen controleert u de domeintijdhiërarchie voordat u elke host afzonderlijk wijzigt.

Beperk wie uw NTP-servers kan bevragen, schakel verouderde commando's met hoge versterking uit, houd NTP-software gepatcht en houd ongebruikelijke verkeerspieken in de gaten. Geef de voorkeur aan interne tijdsverdeling boven het laten opvragen van willekeurige openbare servers door elke host.

Gebruik voor belangrijke omgevingen meerdere vertrouwde tijdbronnen, waarschuw bij buitensporige afwijkingen, documenteer het gezaghebbende tijdpad en neem tijdsynchronisatie op in de controles op incidentreacties. Slechte tijden kunnen certificaten, authenticatie, logcorrelatie en geplande taken verstoren.