Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
17.10.2018, 01:24:03

.
Einloggen mit Benutzername, Passwort und Sitzungslänge

Mitglieder
Statistiken
  • Beiträge insgesamt: 552658
  • Themen insgesamt: 44592
  • Heute online: 355
  • Am meisten online: 680
  • (27.03.2018, 20:17:41)
Benutzer Online
Mitglieder: 5
Gäste: 265
Gesamt: 270

Autor Thema:  NTP - ein Sicherheitsrisiko?  (Gelesen 4278 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Re: NTP - ein Sicherheitsrisiko?
« Antwort #45 am: 20.03.2018, 18:07:09 »
Ich muß nochmals nachhaken wegen der NTP Verbindungen. Problem war ja, dass Mint direkt nach dem  Start ungefragt dutzende NTP Verbindungen aufbaut und offenbar auch als NTP-Server fungiert. Das Problem hatte ich damals gelöst, indem ich alle NTP-Pakete gelöscht habe. NTP, NTPDate etc. Nachteil war, dass sich die Zeit dann auch nicht mehr über die Fritzbox synchronisiert und ich die Zeit alle 1, 2 Wochen manuell justieren musste, da die eingebaute Rechneruhr nicht so genau ist. Soweit kein Problem.

Aber jetzt benötige ich wegen Metatrader ständig sehr genaue Zeit.

Gibt es alternative Pakete, mit denen ich die Zeit z.B. mit einer Fritzbox nur im internen Netz synchronisieren kann. Oder gibt es eine Möglichkeit über Konfigurationsparameter für NTP, NTPDate etc. die Serverfunktionalität zu deaktivieren?

Zuletzt hatte ich auf 3 verschiedenen Rechner Mint 18.3 installiert. Und nach wie vor wurde auf allen auch diese Serverfunktionalität aktiviert.
 

Re: NTP - ein Sicherheitsrisiko?
« Antwort #46 am: 20.03.2018, 19:39:30 »
ntpdate hat keine Server-Funktion, das macht nur ntpd.

Re: NTP - ein Sicherheitsrisiko?
« Antwort #47 am: 20.03.2018, 21:10:37 »
Also ich habe gerade noch einmal NUR NTPDate installiert. In Fritzbox alles gesperrt (NTP läßt sich da ja leider nicht sperren, aber alles andere), Netzwerkkabel raus, Etherape gestartet, eine Minute gewartet. Netzwerkkabel rein. Sofort werden NTP Verbindungen zu ca. 20-50 verschiedenen Internetadressen in ganz Europa aufgebaut. Auch das Datenvolumen geht für einige Minuten hoch. Eine einzige zu einem Zeitserver oder dem NTP Dienst der Fritzbox könnte ich ja noch verstehen.

Dann NTPDate wieder gelöscht. Das gleiche wiederholt und keine einzige NTP Verbindung wird aufgebaut. Ich frage mich was da passiert.

Re: NTP - ein Sicherheitsrisiko?
« Antwort #48 am: 21.03.2018, 08:39:32 »
Könnte sein, dass sich der Rummel mit ntp/ntpdate demnächst von selbst erledigt.
Mint 19 und LMDE 3 sind möglicherweise nicht mehr darauf angewiesen, weil die Mint-Leute daran arbeiten, Datum und Zeit über das Netz mit systemd zu synchronisieren.
https://blog.linuxmint.com/?p=3509

Re: NTP - ein Sicherheitsrisiko?
« Antwort #49 am: 21.03.2018, 09:20:07 »
Was spricht eigentlich gegen
apt purge ntp
und
systemctl enable systemd-timesyncd
?

Das funktioniert doch schon seit Jahren. Man muss lediglich den ntp-Server in die timesync.conf in /etc/systemd eintragen und gut is. Man kann auch ganz einfach die eigene Fritzbox eintragen, dann bleibt alles lokal.


Re: NTP - ein Sicherheitsrisiko?
« Antwort #50 am: 21.03.2018, 09:22:38 »
Kann mir jemand das Problem bitte erklären? Normalerweise sollte doch der Router den Zugriff auf Serverdienste des Computers blocken, wenn er richtig konfiguriert ist?

Re: NTP - ein Sicherheitsrisiko?
« Antwort #51 am: 21.03.2018, 09:25:50 »
Kann mir jemand das Problem bitte erklären? Normalerweise sollte doch der Router den Zugriff auf Serverdienste des Computers blocken, wenn er richtig konfiguriert ist?
Ja, das tut er auch... bei incomming. Ntp ist outgoing-traffic. Der Unterschied liegt in NEW und ESTABLISHED.

Re: NTP - ein Sicherheitsrisiko?
« Antwort #52 am: 21.03.2018, 09:42:23 »
Kann mir jemand das Problem bitte erklären? Normalerweise sollte doch der Router den Zugriff auf Serverdienste des Computers blocken, wenn er richtig konfiguriert ist?
Ja, das tut er auch... bei incomming. Ntp ist outgoing-traffic. Der Unterschied liegt in NEW und ESTABLISHED.

Aber damit ntp als DDos-Werkzeug eingesetzt werden kann, muss er doch erstmal eine "incoming" Anfrage annehmen können?

Re: NTP - ein Sicherheitsrisiko?
« Antwort #53 am: 21.03.2018, 09:59:10 »
Eigentlich wurde im ersten Teil dieses Threads (vor über einem Jahr) schon so allerhand besprochen … ;)
Ist schon wieder Murmeltiertag? Gibt es was Neues?

Re: NTP - ein Sicherheitsrisiko?
« Antwort #54 am: 21.03.2018, 11:05:51 »
Wer einen halbwegs sicheren Router zwischen seinem lokalen Netz und der Welt hat und diesem keine Löcher - sprich eingehende Connectios - gebohrt hat, hat vor seinem Internet einen Firewall, der stumpf - dafür aber komplett eingehende Connections blocvkt.

Re: NTP - ein Sicherheitsrisiko?
« Antwort #55 am: 21.03.2018, 13:44:55 »
Also, ich habe jetzt eine Lösung gefunden.

Offenbar genügt es nicht nur alle NTP ... Pakete zu löschen und nur das NTPDate Paket zu belassen. Man muß auch zusätzlich das Config File ntp.conf (welches bei der Erstinstallation angelegt wird) umbenennen bzw. löschen.

Wenn ich dann nur das NTPDate Paket installiere und das ntp.conf umbenenne, werden nicht mehr ca. 20 -100 ntp Verbindungen aufgebaut, sondern nur noch immer genau 4 zu Canocial (Ubuntu) Zeitservern, was kein Problem ist. Die Zeit wird dann auch wieder sofort synchronisiert. Und von den 80 kB bis 4 MB an NTP Transfer beim Start bleiben nur noch wenige kB übrig.

Noch schöner wäre es natürlich, wenn die Zeit nur intern von der Fritzbox geholt würde. Da muß es irgendwo auch noch ein CONF File für NTPDate geben. Auch nicht so schön, dass die Firewall der Fritzbox nicht auch NTP Verbindungen blockiert, wenn man Internetverkehr komplett sperrt. Auch die rudimentäre interne Firewall von Mint, die ich auf öffentlich eingehend blockieren eingestellt habe, blockt nicht NTP. Aber das ist ein anderes Thema.
 

Re: NTP - ein Sicherheitsrisiko?
« Antwort #56 am: 21.03.2018, 15:18:49 »
Was spricht eigentlich gegen
apt purge ntp
und
systemctl enable systemd-timesyncd
?

Das funktioniert doch schon seit Jahren. Man muss lediglich den ntp-Server in die timesync.conf in /etc/systemd eintragen und gut is. Man kann auch ganz einfach die eigene Fritzbox eintragen, dann bleibt alles lokal.

Habe ich jetzt auch noch probiert. Funktioniert ebenfalls und ist natürlich noch eleganter. Keine NTP Verbindung mehr nach draußen. Vielen Dank für den Tipp.

Re: NTP - ein Sicherheitsrisiko?
« Antwort #57 am: 21.03.2018, 21:53:59 »
Aber damit ntp als DDos-Werkzeug eingesetzt werden kann, muss er doch erstmal eine "incoming" Anfrage annehmen können?
Der Router blockt von außen kommende NEW-Pakete.... die vom 'Internet' initiert sind. Das heisst, diese neue  Verbindung kann nicht "ESTABLISHED" werden, weil der Router blockt.  Das auf dem PC laufende NTP aber initiiert ausgehende Verbindungen, dass heisst mit dem SYNC-Flag wird die Verbindung von innen heraus aufgebaut. Das ausgehende TCP-Paket (Conntrack-State "NEW") wird nicht geblockt und mit dem SYNC-Flag wird die Gegenseite aufgefordert, die Verbindung aufzubauen/anzunehmen. Wenn das geschehen ist, ist die Verbindung ESTABLISHED. Allerdings kann ich Dir Frage nicht beantworten, ob dann DDOS-Attacken durchgeführt werden können. Dazu weiss ich zu wenig über NTP... ich nutze das schon seit Jahren nicht mehr.
« Letzte Änderung: 21.03.2018, 22:13:30 von Patchpanel »

Re: NTP - ein Sicherheitsrisiko?
« Antwort #58 am: 01.04.2018, 13:48:42 »
@Hagor:
Kannst Du den PC und die Fritzbox nicht so einstellen, daß die Fritzbox sich aus dem Netz die Zeit holt und der PC nur von der Fritzbox?

MfG
Munzel