Was spricht für einen eigenen Timeserver, obwohl doch im Internet Timeserver verfügbar sind?


Prinzipiell kann man natürlich seine Rechner im Netzwerk mit Timeservern im Internet synchronisieren.

Viele unserer Kunden verlassen sich jedoch aus Gründen der Sicherheit und/oder Wartbarkeit auf einen eigenen Timeserver im eigenen Netzwerk.

  • Speziell im Falle unseres LANTIME besteht die Möglichkeit der Benachrichtigung eines Verantwortlichen per Email oder SNMP-Trap, falls bei der Zeitsynchronisierung eine Störung auftritt.
  • Die Rechner im eigenen Netzwerk sind nicht auf eine funktionierende Internet-Verbindung angewiesen.
  • Die Rechner im eigenen Netzwerk sind nicht auf die Verfügbarkeit des externen Timeservers angewiesen. Selbst die PTB stellt auf der von Ihnen angegebenen Webseite klar, daß eine dauernde Verfügbarkeit mindestens eines der PTB-Timeserver zwar angestrebt wird, aber nicht garantiert werden kann.
  • Bei einem Test von anderen frei verfügbaren Timeservern (nicht PTB!) wurde festgestellt, daß viele eine signifikant falsche Zeit verteilt haben, obwohl sie sich als Stratum-1-Server ausgaben. Hier liegt das Problem normalerweise bei den zuständigen Administratoren.
  • Bei einer "normal" funktionierenden Internet-Verbindung kann NTP die Laufzeit der Netzwerk-Pakete recht gut ermitteln und kompensieren. Wenn allerdings durch unvorhersehbare Vorgänge die Internet-Übertragung bis zur Kapazitätsgrenze ausgereizt wird, kann durch stark schwankende Paket-Laufzeiten die Zeitsynchronisierung signifikant gestört werden. Als Grund sind z.B. großflächige Hacker-Aktivitäten denkbar (die nicht einmal das eigenen Netzwerk betreffen müssen), oder neue Viren, die sich durch eine Flut von Emails verbreiten, wie es in der Vergangenheit bereits vorgekommen ist.
  • Ein eigener Timeserver kann nicht so leicht aus dem Internet heraus kompromittiert werden. Das hört sich im ersten Moment trivial an, kann aber an einem Fall verdeutlicht werden, der sich tatsächlich ereignet hat und der in der NTP-Community einiges Aufsehen erregt hat:
    Ein Hersteller von Low-Cost-Routern hatte in seinen Produkten die IP-Adresse eines öffentlich zugänglichen NTP-Servers fest codiert, damit diese sich die Zeit holen könnten. Dabei war die Implementierung sogar noch fehlerhaft. Als Folge wurde der NTP-Server mit riesigen Mengen von Anfragen bombardiert, durch die nicht nur die Funktion des NTP-Servers selbst gestört wurde, sondern wodurch auch riesige Mengen von Netzwerk-Verkehr und damit hohe Kosten für den Betreiber des NTP-Servers erzeugt wurden. In diesem Fall half nicht mal das Abschalten des NTP-Servers, da ja auch weiterhin Anfragen gesendet wurden. Einzelheiten finden Sie unter:

    http://www.cs.wisc.edu/~plonka/netgear-sntp

    Das U.S. Naval Observatory (USNO) hat in den USA eine ähnliche Funktion zur Bereitstellung der gesetzlichen Zeit wie in Deutschland die PTB, und stellt ebenfalls seit langem öffentliche NTP-Timeserver zur Verfügung. Diese haben immer mehr mit "bösen" Clients zu kämpfen, durch die die Verfügbarkeit des Dienstes in Frage gestellt wird. Es wurden bereits besondere Vorkehrungen getroffen, um die Gefahr einzudämmen. Dave Mills, der "Erfinder" von NTP, arbeitet mit der USNO zusammen und hat in der NTP-Newsgroup auf diese Tatsache hingewiesen:

    http://groups.google.de/groups?q=ntp+clogging+defense

Vielleicht sind das einige Argumente für einen eigenen Timeserver, wenn die genaue Zeit im eigenen Netzwerk eine wesentliche Rolle für einen reibungslosen Betrieb spielt.

Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact