Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
17.10.2018, 09:58:20

.
Einloggen mit Benutzername, Passwort und Sitzungslänge

Mitglieder
Statistiken
  • Beiträge insgesamt: 552672
  • Themen insgesamt: 44593
  • Heute online: 442
  • Am meisten online: 680
  • (27.03.2018, 20:17:41)
Benutzer Online
Mitglieder: 7
Gäste: 421
Gesamt: 428

Autor Thema:  NTP - ein Sicherheitsrisiko?  (Gelesen 4281 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Re: NTP - ein Sicherheitsrisiko?
« Antwort #30 am: 19.02.2017, 15:15:47 »
Auch die 7490 hat vor wenigen Tagen ein Update bekommen.
Aber ob das nun was zu diesem Thema beiträgt, glaube ich eher nicht, zumindest stand davon nichts im Text zu den Änderungen.
Die Box nutzt auf jeden Fall auch einen ntp Server zum Synchronisieren der Zeit.

Re: NTP - ein Sicherheitsrisiko?
« Antwort #31 am: 19.02.2017, 15:20:12 »
1915 vor den Adennen

Allgemein gesagt: Ja.
Wir haben ja auch noch ein altes Kupferkabel in der Erde aus dem Jahre 1968. Glasfaser und echtes Breitband? Was ist das eigentlich ???
Solange sich hier nicht ändert, solange tut es auch noch diese Box. Und das OS ist 6.50 .

Re: NTP - ein Sicherheitsrisiko?
« Antwort #32 am: 19.02.2017, 21:09:43 »
Edit
aber fungiert NTP auf dem Desktop eines "Endnutzers" nicht auch als Server?
… werden öffentlich erreichbare NTP Server missbraucht.
Kannst du so einrichten wenn du andere Geräte hast die du mit dieser Zeit synchronisieren willst, ansonsten nicht.
Und wenn, dann würdest du idR nur bestimmte Clients im eigenem Netz erlauben, keinen öffentlichen Server bereitstellen.

Re: NTP - ein Sicherheitsrisiko?
« Antwort #33 am: 20.02.2017, 01:28:34 »
Das wäre für mich vernünftig, ich war auch der Meinung, daß es eine Benutzer-Aktion bedarf, um einen Server einzurichten.
Bin überhaupt erst auf dieses Thema gestossen, weil es in einem anderen Thread eine gegenteilige Aussage gab:
Aber ich möchte nicht, dass Mint meinen Rechner als Zeitserver zur Verfügung stellt. Als ich mich über die ca. 2 MB, die nach jedem Start ausgetauscht wurden wunderte, habe ich einmal die IPs überprüft, welche angefunkt werden. Da war z.B. eine Bäckerei aus der Schweiz dabei, ein Elektrofachgeschäft aus Frankreich usw., die bei meiner Mint Version mit NTP nach der Zeit fragen. Und dies bei einer vollkommen neuen Installation von Mint.
https://www.linuxmintusers.de/index.php?topic=40652.msg576024#msg576024

Re: NTP - ein Sicherheitsrisiko?
« Antwort #34 am: 20.02.2017, 02:12:31 »
Das wäre für mich vernünftig, ich war auch der Meinung, daß es eine Benutzer-Aktion bedarf, um einen Server einzurichten.
Bin überhaupt erst auf dieses Thema gestossen, weil es in einem anderen Thread eine gegenteilige Aussage gab:
Aber ich möchte nicht, dass Mint meinen Rechner als Zeitserver zur Verfügung stellt. Als ich mich über die ca. 2 MB, die nach jedem Start ausgetauscht wurden wunderte, habe ich einmal die IPs überprüft, welche angefunkt werden. Da war z.B. eine Bäckerei aus der Schweiz dabei, ein Elektrofachgeschäft aus Frankreich usw., die bei meiner Mint Version mit NTP nach der Zeit fragen. Und dies bei einer vollkommen neuen Installation von Mint.
https://www.linuxmintusers.de/index.php?topic=40652.msg576024#msg576024

Ok, um das klar zu stellen: NTP kann gleichzeitig als Server benutzt werden, es bedarf daozu keines extra Programm, das wird über eine Konfigurationsdatei geregelt. Die Standardkonfiguration ist Distro-Sache und könnte theoretisch natürlich alles sein. Da ich gerade keine Mint VM da habe und die Konfiguration von Mint nicht kenne muss ich bezüglich der Aussage oben zurück rudern, ich bin lediglich davon ausgegangen dass Zugriff auf dein NTP beschränkt ist.
Eine sinnvolle Konfiguration wäre zB
#server liste, vermutlich ubuntu server
#möglicherweise mit pool keyword
server 0.pool.ntp.org
server ....
server .....

#Zugriff auf Localhost beschränken:
retrict default noquery nomodify nopeer
restrict 127.0.0.1
restict ::1

#logging etc
driftfile /var/....
statistics loopstats peerstats.....
filegen .....
Alles andere rauslöschen falls vorhanden.


Re: NTP - ein Sicherheitsrisiko?
« Antwort #35 am: 20.02.2017, 02:22:10 »
Ich kann leider keine Original-Konfiguration von NTP zeigen, weil ich es aus meinem einzigen LM-18.1 inzwischen entfernt habe. Da ist also nur noch ntpdate drauf.
Bei LMDE 2 (mein Hauptsystem) gibt es NTP von vornherein nicht.
Aber es kann ja jmd anderer mit LM-18.1 mal nachschauen (/etc/ntp.conf)?

Evtl liefert Hagor auch noch mehr Infos zu der NTP-Geschichte auf seinem System.
« Letzte Änderung: 20.02.2017, 02:32:19 von aexe »

Re: NTP - ein Sicherheitsrisiko?
« Antwort #36 am: 20.02.2017, 09:49:02 »
Die /etc/ntp.conf unter Mate 18.1 sieht erst mal so aus:

# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

driftfile /var/lib/ntp/ntp.drift

# Enable this if you want statistics to be logged.
#statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

# Specify one or more NTP servers.

# Use servers from the NTP Pool Project. Approved by Ubuntu Technical Board
# on 2011-02-08 (LP: #104525). See http://www.pool.ntp.org/join.html for
# more information.
pool 0.ubuntu.pool.ntp.org iburst
pool 1.ubuntu.pool.ntp.org iburst
pool 2.ubuntu.pool.ntp.org iburst
pool 3.ubuntu.pool.ntp.org iburst

# Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com

# Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
# details.  The web page <http://support.ntp.org/bin/view/Support/AccessRestrictions>
# might also be helpful.
#
# Note that "restrict" applies to both servers and clients, so a configuration
# that might be intended to block requests from certain clients could also end
# up blocking replies from your own upstream servers.

# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery limited
restrict -6 default kod notrap nomodify nopeer noquery limited

# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1
restrict ::1

# Needed for adding pool entries
restrict source notrap nomodify noquery

# Clients from this (example!) subnet have unlimited access, but only if
# cryptographically authenticated.
#restrict 192.168.123.0 mask 255.255.255.0 notrust


# If you want to provide time to your local subnet, change the next line.
# (Again, the address is an example only.)
#broadcast 192.168.123.255

# If you want to listen to time broadcasts on your local subnet, de-comment the
# next lines.  Please do this only if you trust everybody on the network!
#disable auth
#broadcastclient

#Changes recquired to use pps synchonisation as explained in documentation:
#http://www.ntp.org/ntpfaq/NTP-s-config-adv.htm#AEN3918

#server 127.127.8.1 mode 135 prefer    # Meinberg GPS167 with PPS
#fudge 127.127.8.1 time1 0.0042        # relative to PPS for my hardware

#server 127.127.22.1                   # ATOM(PPS)
#fudge 127.127.22.1 flag3 1            # enable PPS API

Re: NTP - ein Sicherheitsrisiko?
« Antwort #37 am: 20.02.2017, 11:43:29 »
# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery limited
restrict -6 default kod notrap nomodify nopeer noquery limited
verstehe ich so, daß jeder die Zeit abfragen kann, also auf die Frage, wie spät es ist, eine Antwort bekommt, was in unserem Kulturkreis eigentlich üblich ist.
Die (Server?)Konfiguration darf von außen nicht verändert werden.

Junkfood

  • Gast
Re: NTP - ein Sicherheitsrisiko?
« Antwort #38 am: 21.02.2017, 10:29:38 »
Okay, bei mir wird NTP verwendet. Da ich ja auch systemd habe, wie stellt man das ggf. um?

Keine Ahnung, wie man NTP unter LM entfernt, mit Debian funktionierts so:
apt-get purge ntp
Dann die conf einrichten:
cat /etc/systemd/timesyncd.conf

#  This file is part of systemd.
#
#  systemd is free software; you can redistribute it and/or modify it
#  under the terms of the GNU Lesser General Public License as published by
#  the Free Software Foundation; either version 2.1 of the License, or
#  (at your option) any later version.
#
# Entries in this file show the compile time defaults.
# You can change settings by editing this file.
# Defaults can be restored by simply deleting this file.
#
# See timesyncd.conf(5) for details.

[Time]
NTP=0.de.pool.ntp.org 1.de.pool.ntp.org 2.de.pool.ntp.org 3.de.pool.ntp.org
FallbackNTP=0.debian.pool.ntp.org 1.debian.pool.ntp.org 2.debian.pool.ntp.org 3.debian.pool.ntp.org

Dann noch für den Boot aktivieren, sofort starten und einmal checken:
systemctl enable systemd-timesyncd
systemctl start systemd-timesyncd
systemctl status systemd-timesyncd

Das wars... HTH

Re: NTP - ein Sicherheitsrisiko?
« Antwort #39 am: 21.02.2017, 20:06:28 »
# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery limited
restrict -6 default kod notrap nomodify nopeer noquery limited
verstehe ich so, daß jeder die Zeit abfragen kann, also auf die Frage, wie spät es ist, eine Antwort bekommt, was in unserem Kulturkreis eigentlich üblich ist.
Die (Server?)Konfiguration darf von außen nicht verändert werden.
Ja und auch keine sonstigen Infos abrufbar. Soweit ich weiß wäre damit auch die Gefahr Teil dieser Amplification DDoS Angriffe zu werden gebannt, "noquery" verhindert entsprechende Anfragen wo eine kleine Anfrage eine lange Antwort bekommt.

Wem das zuviel ist der kann einfach alle "restrict" Regeln löschen dann einfügen
restrict default ignore
restrict -6 default ignore
um alles, inklusive Zeitanfragen zu ignorieren und noch uneingeschränkten Zugriff vom localhost
restrict 127.0.0.1
restrict -6 ::1
Das wars eigentlich.
Die 4 Zeilen und eine server Liste sollten genug sein für den Desktop.

Re: NTP - ein Sicherheitsrisiko?
« Antwort #40 am: 22.02.2017, 00:53:01 »
Das wäre für mich vernünftig, ich war auch der Meinung, daß es eine Benutzer-Aktion bedarf, um einen Server einzurichten.
Bin überhaupt erst auf dieses Thema gestossen, weil es in einem anderen Thread eine gegenteilige Aussage gab:
Ja, der andere Thread kam von mir. Ich hatte vor ca. 3 Monaten Mint 18 auf einem Ultrabook installiert. Bei jeder neuen Version teste ich immer zuerst welche IPs beim Start so angefunkt werden. Bis Mint 17 war das überschaubar.

Ich war sehr überrascht, dass in den ersten Minuten ca. 20-60 IPs aus ganz Europa mit dem NTP Protokoll dabei waren. Es kamen so in kurzer Zeit bei jedem Start ca. 2 - 4 MB zusammen.

Damals noch in Unkenntnis was NTP ist, habe ich ein NTP-Paket nach dem anderen gelöscht, solange bis kein NTP Transfer mehr stattfand. Ich bin nicht sicher, aber soweit ich mich erinnere waren es 3 Pakete (NTPD,NTP, NTPDate???)

Wenn ich das richtig verstanden habe, wurde meine IP beim Start anderen als NTP-Server bekannt gegeben. Dies bedeutet aber, dass diese von aussen in mein Netz kommen und nach der Zeit fragen.

Nur wie kann das sein, wenn an der Fritzbox keine Ports von aussen nach innen offen sind? Zumindest zeigt die Fritzbox keine offenen Ports an. Weiterleitungen habe ich auch keine.

Mit nmap kommt jedoch 123/udp open|filtered ntp

Was bedeutet das eigentlich? Ist der Port nun für jedermann offen oder gefiltert. Das wiederspricht sich irgendwie.

Re: NTP - ein Sicherheitsrisiko?
« Antwort #41 am: 22.02.2017, 16:02:05 »
Wenn ein IP-Paker an Deiner Fritz ankommt, haipt das nur daß das Paket dort ankommt. Ob das Paket dann weiter gereicht wird, ist die kurze Antwort; kommt darauf an.

Wenn das Paket sich als Antwort auf ein Paket aus Deinem Netz ist, wird es selbstredend an den Absender des Paketzes auf das die Antwort ist, zugestellt.
Isdt das Paket eine Antwort auf eines das die Fritzbox selbst losgelassen ist, verarbeitet es diese selbst.
Ist das Paket auf einen Port den die Fritz als "offen" markiert hat, wird das Paket an den Computer weitergeleitet der für diesen Port zuständig eingetragen ist.

Andere Pakete werden entweder abgelehnt oder ohne Reaktion weggeworfen.

tcp/ip ist ein paketorientiertes Netzwerk. Auf ein gesendetes Paket wird eine Antwort erwartet. Diese Antwort enthält die IP die das Paket auf das gie Antwort ist geschickt hat. Das ist die des Gerätes im LAN und nicht die mit der die Box selbst im Inernet bekannt ist.

Bei einem kleinen LAN sind das 256 x 253 (Netz x host) Adressen - bei einem großen LAN 256 x 256 x 256 Netze und Hosts bei VP V4 - bei IP V6 weitaus mehr.  Dazu kommt daß der Router weiß welcher Host auf Antwort von wem wartet.

Kurz: ausgehende Pakete wollen beantwortet werden; eingehende Pakete die keine Antwort sind dürfen nicht hinein - so sie nicht auf dem/den erlaubten Port(s) kommen.

So Du keine Dienste wie http(s), ftp,... auf den Standardports freigibst, kommt keiner auf die Idee offene Ports auf Deiner täglich wechselnden IP zu suchen.

Re: NTP - ein Sicherheitsrisiko?
« Antwort #42 am: 23.02.2017, 00:36:58 »
So Du keine Dienste wie http(s), ftp,... auf den Standardports freigibst, kommt keiner auf die Idee offene Ports auf Deiner täglich wechselnden IP zu suchen.
OK, Danke für die ausführliche Info. Dann ist ja jetzt alles im grünen Bereich. Habe mal einige Fritzboxen ohne die NTP Pakete von aussen gescannt. Kommt immer offen/gefiltert. Scheint der Normalzustand bei allen UTP Ports zu sein.

Ich habe jetzt einmal die beiden anderen Linux Rechner geprüft. Gleiche Mint Version. Dort wird kein NTP Server aktiviert. Einziger Unterschied: Der Ultrabook bei dem der NTP-Server aktiviert wurde hat GPS und WAN (jedoch im BIOS deaktiviert) integriert. WAN scheidet wohl als Grund aus. GPS hat ja eine sehr genaue Zeit und verm. wird deshalb bei einer Standard Installation von Mint, auf Computern mit integriertem GPS, NTP als Server aktiviert.

Re: NTP - ein Sicherheitsrisiko?
« Antwort #43 am: 23.02.2017, 05:50:59 »
Generell ALLES was mit dem Internet verbunden ist, ist unsicher!

Frag Edward mit den Scherenhänden.

Don't think twice -it's allright!

#1984

https://www.youtube.com/watch?v=PrGdxhhyzRw

Re: NTP - ein Sicherheitsrisiko?
« Antwort #44 am: 23.02.2017, 11:01:05 »
Generell ALLES was mit dem Internet verbunden ist, ist unsicher!
Die Erkenntnis ist wirklich bahnbrechend.  8)
Nur geht es doch letztlich um die Frage, wie hoch der Grad der Unsicherheit ist, bei den Betriebssystemen, den Anwendungen usw. und welche Relevanz das für den Benutzer hat, was er tun kann, um sich möglichst sicher im Netz zu bewegen.
Dann sind die Antworten eben nicht mehr so simpel.