Dla administratorów aktualizacja czasu w urządzeniach sieciowych nie jest oczywistym priorytetem, ale jeśli przyjrzeć się temu zagadnieniu dokładniej, okazuje się, że precyzyjny pomiar czasu ma duże znaczenie dla wielu realizowanych w sieci zadań. Brak synchronizacji czasu może doprowadzić do poważnych problemów, np. utraty firmowych danych.
Jest kilka urządzeń i zadań, których funkcjonowanie zależy od sprzętowych zegarów, a te powinny pokazywać prawidłowy czas i być ze sobą zsynchronizowane.
- Zaplanowane zadania backupu. Jak ważne jest tworzenie kopii zapasowych, nie trzeba nikogo przekonywać. Jeśli jednak zegary zbytnio się spieszą lub późnią, mogą wystąpić błędy podczas tworzenia backupu lub zadanie to w ogóle nie zostanie wykonane.
- Akceleratory sieciowe. Te i inne urządzenia, które wykorzystują pamięć podręczną (cache) oraz funkcje WAFS (Wide Area File System), w dużym stopniu zależą od znaczników czasu, w celu ustalenia, która wersja danych jest najnowsza. Brak synchronizacji zegarów może sprawić, że te systemy będą działać nie prawidłowo i dostarczać złe wersje danych.
- Systemy zarządzania siecią. Gdy występują problemy, ważnym elementem diagnostyki jest analiza logów. Jeśli jednak nie ma synchronizacji czasu w zebranych danych, ustalenie przyczyny problemu może być znacznie trudniejsze, a przez to wydłuży się czas przywrócenia do sprawnego działania.
- Analiza włamań. W przypadku włamania ustalenie, jak ono nastąpiło oraz do których danych intruz uzyskał dostęp, może być możliwe pod warunkiem, że informacje w logach serwerów i routerów mają punktualne informacje o czasie. Brak punktualnie działających zegarów sprawia, że wykrycie hakera buszującego w firmowej sieci zajmie więcej czasu.
- Zgodność z regulacjami prawnymi. Akty prawne mogą wymagać precyzyjnych znaczników czasu w przypadku niektórych kategorii transakcji i danych.
- Systemy transakcyjne. Firmy w niektórych sektorach mogą realizować wiele transakcji na sekundę. W takim środowisku zegary muszą działać bardzo precyzyjnie.
Wiele firm aktualizuje i synchronizuje zegary z wykorzystaniem protokołu NTP (Network Time Protocol) – klient NTP łączy się z serwerem czasu w sieci lokalnej, który określa się jako serwer stratum-2 (serwer warstwy drugiej). Z kolei serwery stratum-2 w celu aktualizacji czasu łączą się na porcie 123 przez Internet z serwerami stratum-1. Są to publicznie dostępne serwery, które są bezpośrednio połączone z urządzeniami (zegarami) stratum-0, które służą jako referencyjne źródło pomiaru czasu (urządzenia stratum-0 nie są dostępne przez Internet).
Niestety to podejście implikuje szereg problemów. Podstawowy jest taki, że serwery stratum-2 działające w sieciach lokalnych otrzymują informację o czasie z serwerów stratum-1, która nie jest wystarczająco dokładna. Jest to skutek przesyłania danych przez Internet – z serwerów stratum-1 do serwerów czasu w sieci firmowej. Nie da się przewidzieć trasy i czasu przesyłania danych w ten sposób. To oznacza, że zawsze wystąpi zmienny czynnik błędu.
Mimo że wszystkie urządzenia w sieci lokalnej, które pobierają czas z tego samego serwera stratum-2, będą dobrze zsynchronizowane (z odstępstwem granicach 1-100 milisekund), to już zapewnienie synchronizacji na przyzwoitym poziomie pomiędzy dwoma serwerami stratum-2 w różnych sieciach lokalnych może być trudne.
Zagrożenia bezpieczeństwa związane z serwerami NTP
Z używaniem publicznych serwerów NTP stratum-1wiążą się też zagrożenia, z których najważniejsze to:
- Potencjalnym zagrożeniem jest już sam klient lub demon NTP. Podatności w tego rodzaju oprogramowaniu mogą być (i były w przeszłości) wykorzystane przez hakerów wysyłających spreparowane pakiety przez korporacyjny firewall, używając portu 123.
- Firmy korzystające z publicznych serwerów NTP są podatne na ataki DoS – hakerzy mogą przesyłać fałszywe pakiety NTP, uniemożliwiając synchronizację czasu podczas ataku. W przypadku firm zajmujących się, np. działalnością finansową, która wymaga precyzyjnych informacji o czasie, taki atak może być bardzo dotkliwy.
Niestety jedynym sposobem uniknięcia tych potencjalnych problemów i uzyskania dokładniejszych danych o czasie jest po prostu uruchomienie jednego lub kilku serwerów stratum-1 wewnątrz sieci, za firmowym firewallem.
Uruchomienie własnego serwera stratum-1
Serwery stratum-1 są dostępne w formie rackowych urządzeń o wysokości 1U, które bez problemu można umieścić w serwerowni i podłączyć do sieci lokalnej. Urządzenia te mają też wbudowane mechanizmy komunikacji z referencyjnymi serwerami stratum-0 – z reguły połączenie jest nawiązywane z wykorzystaniem naziemnych fal radiowych lub sygnału GPS.
Naziemne połączenia radiowe są realizowane z wykorzystaniem takich sygnałów, jak WWVB z Fort Collins w USA, MSF z Anthorn w Wielkiej Brytanii czy DCF77 z Frankfurtu w Niemczech. Mechanizm działania jest podobny do tego, w jaki urządzenia konsumenckie typu zegarki i systemy alarmowe aktualizują swój czas, łącząc się z zegarami referencyjnymi.
Serwery stratum-1 wykorzystujące sygnał GPS są bardziej dokładne, ale mniej wygodne w instalacji, ponieważ wymagają podłączenia anteny umieszczonej w odpowiednim miejscu na dachu budynku. Pobierając dane z kilku satelitów i obliczając dystans pomiędzy każdym satelitą a anteną, serwer stratum-1 jest w stanie ustawić swój czas z dokładnością do ok. 50 nanosekund. Co ważniejsze, dwa lub więcej takich serwerów w różnych sieciach lokalnych może mieć zsynchronizowane zegary na podobnym poziomie. Firmy oferujące tego rodzaju sprzęt to, m.in. Meinberg Funkuhren, Oscilloquartz SA, Symmetricom i Time Tools.
Żeby zapewnić nadmiarowość, niektóre duże firmy instalują w każdej lokalizacji serwer stratum-1 z modułami GPS. Alternatywą jest utrzymywanie serwerów wykorzystujących naziemną komunikację radiową jako systemu zapasowego na wypadek awarii serwera z modułem GPS czy uszkodzenia anteny w wyniku złej pogody. Przyjmując, że serwery stratum-1 kosztują od 1000 do 5000 dolarów, zakup dwóch lub więcej takich urządzeń nie jest znaczącym wydatkiem dla dużej firmy. Małe i średnie firmy, włączając w to firmy w odizolowanych miejscach, gdzie nie ma dostępu do Internetu, mogą wykorzystać jako urządzenie stratum-1 karty PCI z modułami GPS, dzięki którym zwykły komputer stacjonarny może służyć za źródło informacji o czasie.
