Руководство по порту NTP: синхронизация времени по UDP 123

Клиент NTP периодически отправляет запрос на один или несколько серверов времени по UDP 123. Сервер возвращает временные метки, которые позволяют клиенту оценить смещение, задержку и дрожание, затем клиент корректирует свои локальные часы, не делая разрушительных скачков, если только дрейф не слишком велик.

Развертывания NTP часто располагаются слоями. Уровень 0 — это эталонные часы, такие как GPS или атомный источник. Серверы уровня 1 подключаются напрямую к этим ссылкам, а серверы нижнего уровня распределяют время дальше по сети. Большинству организаций следует использовать доверенные исходные источники и обеспечивать внутренний NTP для своих собственных систем.

Клиенту NTP необходим исходящий доступ к UDP 123 к настроенным источникам времени. Серверу NTP требуется входящий UDP 123 от клиентов, для которых он предназначен. Это разные вопросы о брандмауэре, и их смешение является распространенной причиной нарушения синхронизации времени.

Рабочие станции и серверы приложений обычно действуют только как клиенты. Контроллеры домена, сетевые устройства времени, инфраструктура мониторинга и внутренние концентраторы времени могут выступать в качестве серверов для остального парка.

Разрешить исходящий UDP 123 из систем, которым необходимо синхронизироваться с доверенными внешними или внутренними источниками времени. Разрешите входящий UDP 123 только на серверах, которые намеренно предоставляют NTP известным клиентам.

Не открывайте NTP-сервер для широкого доступа в Интернет, если он намеренно не используется как общедоступная служба времени с возможностью ограничения скорости, мониторинга и контроля злоупотреблений. Неправильно настроенный общедоступный NTP может быть использован для атак с отражением и усилением.

Прежде чем разрешить UDP 123, решите, какие системы являются клиентами, какие системы являются серверами и каким восходящим источникам времени можно доверять. Убедитесь, что ваша среда использует chrony, systemd-timesyncd, ntpd, службу времени Windows, иерархию доменов или выделенное устройство.

Проверка портов может помочь в обеспечении доступности, но синхронизация времени также должна проверяться на уровне протокола и часов. Используйте chronyc, ntpq, w32tm, timedatectl или данные мониторинга для подтверждения смещения, слоя, выбора источника и отклонения.

В доменах Windows служба времени Windows обычно синхронизирует членов домена через иерархию домена, при этом эмулятор PDC настроен на использование доверенных вышестоящих источников. Автономные серверы Windows можно настроить с помощью w32tm и правил брандмауэра для UDP 123, когда они отрабатывают время.

В современных дистрибутивах Linux используется chrony, а также присутствуют ntpd и systemd-timesyncd. Настройте доверенные пулы или внутренние серверы, разрешите UDP 123 только там, где хост предоставляет время, и отслеживайте смещение и работоспособность источника.

На сетевых устройствах, где это возможно, направьте коммутаторы, маршрутизаторы, межсетевые экраны и устройства на внутренние источники NTP. Точное время работы устройства делает журналы, сертификаты, VPN и расследование инцидентов гораздо более надежными.

Начните с проверки доступности UDP 123 между клиентом и предполагаемым сервером времени. Затем проверьте фактическую синхронизацию с помощью отслеживания chronyc, источников chronyc, ntpq -p, timedatectl timesync-status или w32tm /query /status в зависимости от платформы.

Если вы используете NTP-сервер, протестируйте его из известной клиентской сети и убедитесь, что неавторизованные сети не могут запросить его. Для служб, подключенных к Интернету, следите за объемом запросов и шаблонами ответов, поскольку доступность сама по себе не является гарантией безопасной конфигурации.

Если NTP не синхронизируется, клиент может быть заблокирован от UDP 123, использовать неправильный сервер, отклонить источник из-за большого смещения или неспособен разрешить имя хоста сервера времени. Виртуальные машины также могут дрейфовать, если время хоста, гостевые инструменты и NTP борются друг с другом.

Если сервер доступен, но клиенты все еще отклоняются, проверьте уровень, статус перехода, выбор источника, состояние брандмауэра, поведение NAT и наличие одновременной настройки нескольких систем времени. Для доменов Windows проверьте временную иерархию домена, прежде чем менять каждый хост по отдельности.

Ограничивайте круг лиц, которые могут запрашивать ваши серверы NTP, отключайте устаревшие команды с высоким усилением, обновляйте программное обеспечение NTP и отслеживайте необычные всплески трафика. Предпочитайте внутреннее распределение времени, а не позволяйте каждому хосту запрашивать случайные общедоступные серверы.

Для важных сред используйте несколько надежных источников времени, предупреждайте о чрезмерном смещении, документируйте достоверный путь времени и включайте синхронизацию времени в проверки реагирования на инциденты. Неудачное время может привести к поломке сертификатов, аутентификации, корреляции журналов и запланированных заданий.