Hoe het netwerktijdprotocol internet blijft tikken

Hier is iets cools waar je misschien nog niet aan hebt gedacht: de volgende generatie veelgebruikte apparaten krijgt waarschijnlijk IPv6 IP-adressen toegewezen. Dit betekent dat je koelkast je een waarschuwing kan geven als je bijna geen melk meer hebt, en je fornuis de dag kan redden door je te laten weten dat je diner op het punt staat te worden verbrand. Om dit te doen, hebben deze apparaten een betrouwbare bron nodig voor tijdreferentie. Network Time Protocol (NTP) biedt precies dat en waarschijnlijk van een atoomklok ergens stroomopwaarts.

Het is geen kwestie van levensveranderende verhoudingen als je geen melk bij je ochtendkoffie kunt krijgen (hoewel het soms zo voelt!) Maar als NTP op een spectaculaire manier faalt, kunnen sommige veel kritiekere systemen hierdoor falen. Hier zullen we een kijkje nemen op NTP, waar het wordt gebruikt en wat het bestuurt. U zult verrast zijn om te leren hoe gewoon dit kleine protocol is.

NTP: een essentieel protocol

Zowat alles wat op internet is aangesloten, gebruikt NTP om de klok te synchroniseren, of anders heeft de software waarschijnlijk een instelling waarmee NTP kan worden gebruikt. Smartphones, servers en switches zijn slechts enkele van de vele apparaten die op internet zijn aangesloten en die tijd nodig hebben om kritieke bewerkingen uit te voeren, zoals het maken van back-ups of het controleren op beveiligingsupdates. En wanneer NTP niet correct functioneert, kan het resultaat chaos zijn.

Wanneer NTP mislukt

Een eeuwenoud probleem dat nog steeds voorkomt bij sommige oudere besturingssystemen is het seizoensgebonden geven of nemen van een uur dat algemeen bekend staat als zomertijd. De urenlange tijdsverschuiving, wanneer deze bijvoorbeeld plotseling wordt geïntroduceerd bij een drukke server, kan op verschillende niveaus problemen veroorzaken. De server kan in de war raken wanneer een bestand is gemaakt of het laatst is beschreven. Dit kan tot allerlei fouten leiden, waardoor services mislukken. Geplande taken, zoals het scannen van het bestandssysteem op malware of virussen, kunnen bovendien opnieuw worden uitgevoerd, hoewel ze al zijn voltooid. Als die taak resource-intensief is, zal het resultaat minder dan optimale serverprestaties zijn. Voor veel bedrijven, zoals e-commerce websites, kan dit een aanzienlijke impact hebben op de bedrijfsresultaten.

Met het risico van scaremongering (de Y2K-bug schiet me te binnen) heeft een zekere "sprong tweede glitch" daadwerkelijk wat schade aangericht. In juli 2012 ondervonden Reditt, Gawker, Mozilla en andere grote sites technische problemen en storingen nadat een seconde van de atoomklokken ter wereld was verwijderd. U kunt zien dat grote bedrijven het verlies van een enkele seconde voelden en dat dergelijke kwesties van tijdgevoeligheid niet alleen voorbehouden zijn aan kleine bedrijven zonder de middelen om van tevoren preventieve maatregelen uit te rollen.

De NTP-gemeenschap

Dus hoe verspreidt het Network Time Protocol zich over het internet? Het gaat terug naar een tijd waarin internet een meer vertrouwde gemeenschap was. Overweeg dat atoomklokken, meestal beschouwd als de meest nauwkeurige (en relatief haalbare) soorten tijdstukken, zonder al te veel technische details aan de top van een hiërarchie te zitten, zoals weergegeven in de onderstaande afbeelding.

Bron: http://commons.wikimedia.org/wiki/User:Bdesham

De hiërarchie functioneert aanvankelijk op basis van vertrouwen, of de locatie die u zou kunnen zeggen. Stratum 0 is het volgende niveau onder de atoomklok en is meestal een tijdserver die rechtstreeks met die atoomklok is verbonden. Vervolgens kunnen bepaalde servers, gecontroleerd met enkele expliciete firewallregels, Stratum 0-machines om de juiste tijd vragen.

Zodat deze machines nooit teveel worden belast, maken ze selectief verbinding met vertrouwde NTP-servers eronder (althans in termen van de hiërarchie), Stratum 1-servers genoemd, enzovoort. Door dit model te gebruiken, kan iedereen met een computer op internet verbinding maken met een of meer (meerdere worden vaak gebruikt voor betrouwbaarheid in het geval dat een NTP-server faalt) servers die recent een nauwkeurige tijd van een atoomklok hebben ontvangen.

NTP beveiligen

Veel bedrijven hebben hun eigen tijdservers in het belang van de veiligheid, omdat een duidelijke, brede en ongewenste verstoring mogelijk is als een sleutelgroep van bedrijfsservers de verkeerde tijd krijgt.

Als gevolg hiervan kunnen de meeste moderne implementaties van NTP grondig worden beveiligd tot een indrukwekkend niveau, wat vertrouwen geeft aan systeem- en netwerkbeheerders. Er is echter weinig twijfel dat sommige bewerkingen nog strengere beveiliging en cryptografie vereisen, waardoor een zo dicht mogelijke garantie wordt geboden dat de server die verbinding maakt met een waardevolle, mogelijk lastgevoelige, NTP-server correct is geïdentificeerd als vertrouwd. Meer informatie over het coderen van NTP-uitwisselingen is te vinden op de site ntp.org.

Als een protocol dat bijna overal wordt gebruikt, heeft NTP een relatief goede staat van dienst voor beveiligingsbugs, maar alles dat zo breed wordt gebruikt als dit protocol is altijd vatbaar voor exploits.

Een steek op tijd

Als u bedenkt dat IPv6 zo'n groot aantal IP-adressen in zijn allocatiepool heeft, kunt u zien waarom fabrikanten proberen steeds meer apparaten met internet te verbinden om te profiteren van superieure functionaliteit. U kunt er zeker van zijn dat NTP een belangrijke rol zal spelen in de software-builds van elk van die apparaten. Als het gaat om moderne elektronische apparatuur in alle soorten en maten, bespaart een steek op tijd negen. (over IPv6 in The Trouble With IPv6.)