Bild generiert durch OpenAI's DALL·E
In der Welt der Informationssicherheit und der IT-Security ist die Zeit von entscheidender Bedeutung. Ob es sich um die Synchronisierung von Transaktionen in Finanzsystemen, die Protokollierung von Ereignissen in Netzwerken oder die zeitliche Koordination von verteilten Systemen handelt, präzise Zeitangaben sind unerlässlich.
Hier kommen Network Time Protocol (NTP)-Zeitserver ins Spiel, die dafür sorgen, dass alle Geräte in einem Netzwerk eine einheitliche Zeit verwenden. Doch warum ist das Stratums-Konzept in diesen Servern so entscheidend und welche Auswirkungen hat es auf die Informationssicherheit?
Was ist ein Stratum?
Bevor wir uns mit der Bedeutung des Stratums befassen, ist es wichtig zu verstehen, was ein Stratum überhaupt ist. In der Architektur des Network Time Protocol (NTP) existiert eine klar definierte Hierarchie von Zeitservern, die in sogenannte Strata eingeteilt sind. Diese Strata dienen dazu, die Beziehung und die Nähe der Server zur primären Zeitquelle zu beschreiben.
An der Spitze dieser Hierarchie stehen die Stratum 1-Server, die als die höchste Ebene gelten. Diese Server beziehen ihre Zeit direkt von äußerst genauen Quellen wie atomaren Uhren oder GPS-Signalen. Sie bilden sozusagen den Goldstandard in der Zeitmessung.
Die Stratum 2-Server synchronisieren sich dann mit den Stratum 1-Servern, was bedeutet, dass sie ihre Zeit von diesen hochgenauen Quellen erhalten. Auf diese Weise bilden sie die zweite Ebene der Hierarchie.
Dieses Muster setzt sich fort, wobei jeder nachfolgende Stratum-Server seine Zeit von einem Server des vorherigen Stratum bezieht. Je höher das Stratum, desto weiter ist der betreffende Zeitserver von der primären Zeitquelle entfernt.
Jeder zusätzliche Zeitserver „verändert“ diese Zeit der Referenzuhr etwas ins negative – um dies auch darstellen zu können besitzt jeder NTP-Server dieses sogenannte Stratum.
Ein System mit Stratum 1 hat ca. 10 μs Zeitungenauigkeit zur Referenzzeit, jede weiterer Server fügt ca. 0,5 bis 100 ms an Zeitungenauigkeit hinzu – somit sollte nicht nur einen NTP-Server mit einem möglichst niedrigen Stratum gewählt werden, sondern auch alle Clients denselben NTP-Server nutzen.
Es ist wichtig zu merken, dass das höchstmögliche Stratum in einem NTP-Netzwerk das Stratum 16 ist. Ein Stratum-16-Server zeigt an, dass keine Verbindung zu einem anderen Zeitserver hergestellt wurde und daher keine Zeitinformation empfangen wurde.
Zu merken ist hier - Stratum 16 heißt es besteht KEINE Zeitsynchronisierung und ist somit nicht als Zeitquelle geeignet.
NTP-Pools spielen eine entscheidende Rolle für Unternehmen, die eine stabile Zeitquelle benötigen. Sie bieten nicht nur eine Vielzahl von öffentlichen Servern, die weltweit verteilt sind, sondern auch eine hohe Verfügbarkeit und Redundanz. Durch die Anbindung an einen NTP-Pool können Unternehmen sicherstellen, dass ihre Systeme stets mit einer genauen Zeit synchronisiert sind, was wiederum für eine reibungslose und zuverlässige Funktionsweise ihrer Anwendungen und Sicherheitsprotokolle unerlässlich ist. Die Nutzung von NTP-Pools ermöglicht es Unternehmen, auf einfache Weise eine stabile Zeitquelle bereitzustellen, ohne die Notwendigkeit eigener dedizierter Zeitserver. Es ist jedoch wichtig, bei der Auswahl von NTP-Pools auf deren Vertrauenswürdigkeit und Sicherheit zu achten, um potenzielle Sicherheitsrisiken zu minimieren.
In der ISO 27001, wird in A.12.4 die Bedeutung eines zuverlässigen Zeitdienstes betont. Dies bezieht sich direkt auf die Erfordernisse einer genauen Zeitstempelung von Daten und Ereignissen, was wiederum ein integraler Bestandteil der Informationssicherheit ist. Die Einhaltung der Zeitrichtlinien wird als wesentlich für die Integrität und Vertraulichkeit von Daten angesehen, da sie beispielsweise bei der Überprüfung von Protokollen, der Nachverfolgung von Ereignissen und der Überwachung von Zugriffen eine entscheidende Rolle spielt.
BSI IT-Grundschutz – mehrere Bausteine zur korrekten Zeitsynchronisation (z.B. OPS.1.1.5.A1)
ISO/IEC 27001 – konkrete Anforderung zur Synchronisation von einer definierten Referenzzeitquelle (A.12.4)
PCI DSS – konkrete Anforderung zur Synchronisation von allen kritischen Systemuhren (Anforderung 10.4)
Ein eigener NTP-Server wird in dieser Hinsicht als vorzuziehende Lösung betrachtet, um sicherzustellen, dass die Organisation die Kontrolle über ihre Zeitquelle hat und die Genauigkeit der Zeitstempel in ihren Systemen gewährleisten kann. Durch die Verwendung eines eigenen NTP-Servers können Unternehmen außerdem potenzielle Risiken im Zusammenhang mit externen Zeitquellen wie NTP-Pools oder öffentlichen Zeitservern minimieren und die Sicherheit ihrer IT-Infrastruktur erhöhen.
Was ist nun der Impact?
In vielen Anwendungsfällen ist die Genauigkeit des Network Time Protocol (NTP) auf Millisekunden ausreichend, um eine effiziente Synchronisation der Systemzeit zu gewährleisten. Diese Genauigkeit genügt den meisten IT-Systemen, um ihre Aufgaben zu erfüllen, und viele Anwendungen arbeiten einwandfrei, ohne dass eine höhere Genauigkeit erforderlich ist oder der Zeitabgleich überhaupt läuft.
Selbst in Umgebungen, in denen eine präzisere Zeitmessung erforderlich ist, wie beispielsweise in der Finanzbranche oder in hochfrequenten Handelsumgebungen, können Systeme oft vorübergehend mit weniger präzisen Zeitangaben umgehen, ohne dass dies unmittelbar erkennbare Probleme verursacht. Erst wenn eine ausreichend präzise Zeitmessung für spezifische Anforderungen erforderlich ist oder wenn Probleme im Zusammenhang mit der Zeitgenauigkeit auftreten, wird die Bedeutung einer genauen und zuverlässigen Zeitquelle deutlich.
Jedoch birgt diese vermeintliche Selbstverständlichkeit auch ein Risiko: Aufgrund der ausreichenden Genauigkeit von NTP wird diesem oft nicht die gebührende Aufmerksamkeit geschenkt. Viele Geräte sind standardmäßig so konfiguriert, dass sie sich die Zeit von öffentlichen Zeitservern, wie beispielsweise "pool.ntp.org", holen und somit ihre Zeit synchronisieren - oft ohne in der Praxis diese jemals erreicht zu haben, da diese Kommunikation auf der Firewall gesperrt ist.
Doch was passiert, wenn einer dieser Zeitserver nicht verfügbar ist oder fehlerhafte Zeitangaben zurückgibt? In solchen Fällen besteht die Gefahr, dass das NTP-System falschen Zeitangaben Glauben schenkt und die Uhr langsam danach ausrichtet. Abhängig von den Konfigurationen und den Abständen zwischen den Zeitabfragen kann es Stunden oder sogar Tage dauern, bis das System die falsche Zeit wieder korrigiert.
Wie machen sich das Angreifer zu nutze?
Betrachten wir nun die Perspektive eines Angreifers, der die Schwachstellen eines fehlerhaft konfigurierten NTP-Servers ausnutzt. Angenommen, ein Angreifer hat erfolgreich die Zeit eines Ihrer Geräte manipuliert, sodass die Zeit plötzlich fünf Jahre in der Zukunft liegt. Welchen Nutzen könnte der Angreifer aus dieser Manipulation ziehen?
Zunächst einmal würde eine solche Zeitverschiebung erhebliche Auswirkungen auf die Sicherheit und den reibungslosen Betrieb Ihres Netzwerks haben. Viele Ihrer Sicherheitsmechanismen und routinemäßigen Abläufe sind eng mit der Systemzeit verbunden, und eine falsche Zeitangabe könnte verheerende Folgen haben:
Passwortrichtlinien: Die meisten Ihrer Passwörter wären plötzlich abgelaufen
SSL-Zertifikate: Alle Ihre SSL-Zertifikate wären plötzlich abgelaufen
IPSEC-Tunnel: Ihre IPSEC-Tunnel wären down und würden sich weigern, neu zu starten
Backups und Logfiles: Viele Ihrer Backups und Logfiles würden als "abgelaufen" betrachtet und gelöscht, was zu einem Verlust wichtiger Daten und einer Beeinträchtigung Ihrer Disaster-Recovery-Möglichkeiten führen würde. Die historischen Daten, die für die Überwachung, Analyse und Compliance erforderlich sind, wären nicht mehr verfügbar, was möglicherweise schwerwiegende Auswirkungen auf Ihre Betriebsabläufe und Ihre Fähigkeit zur forensischen Untersuchung von Sicherheitsvorfällen hätte.
What should I do?
Abschließend lässt sich festhalten, dass die ordnungsgemäße Konfiguration und Überwachung des Network Time Protocol (NTP) von entscheidender Bedeutung für die Informationssicherheit eines Unternehmens ist. Die Manipulation der Systemzeit kann schwerwiegende Auswirkungen auf die Sicherheit, Stabilität und Integrität des Netzwerks haben, wie wir anhand der möglichen Folgen eines fehlerhaften NTP-Servers gesehen haben.
Um solche Risiken zu minimieren, sollten Unternehmen bewährte Verfahren im Umgang mit NTP implementieren. Dazu gehören:
Verwendung mehrerer NTP-Server: Ideal ist die Verwendung von mindestens drei NTP-Servern, wobei mindestens einer im eigenen Netzwerk mit Stratum 1 betrieben sollte, um eine zuverlässige und redundante Zeitquelle zu gewährleisten.
Richtlinien zur NTP-Konfiguration: Es sollte eine klare Richtlinie festgelegt werden, die besagt, dass alle Geräte im Netzwerk ordnungsgemäß mit NTP konfiguriert sein müssen, um eine genaue Zeitmessung sicherzustellen.
Monitoring der NTP-Konfiguration: Die NTP-Konfiguration aller Geräte im Netzwerk sollte regelmäßig überprüft werden, um sicherzustellen, dass sie den Sicherheitsstandards entspricht und keine Abweichungen vorliegen.
Es ist wichtig zu beachten, dass NTP selbst auch Sicherheitsmechanismen wie Authentifizierung unterstützt, um die Integrität und Sicherheit des Zeitdienstes zu gewährleisten. Obwohl diese Aspekte hier nicht ausführlich behandelt wurden, ist es ratsam, sich über fortgeschrittene Sicherheitsfunktionen von NTP zu informieren und diese bei Bedarf zu implementieren.
Abschließend lässt sich sagen, dass NTP ein entscheidendes Element der Informationssicherheit ist, das nicht vernachlässigt werden darf. Durch die Implementierung bewährter Verfahren und die regelmäßige Überwachung können Unternehmen die Zuverlässigkeit und Integrität ihrer Zeitquelle sicherstellen und sich so effektiv vor potenziellen Sicherheitsrisiken schützen. Es ist jedoch wichtig, sich bewusst zu sein, dass die Sicherheit von NTP ein komplexes Thema ist und weiterhin Fortschritte erfordert, um den sich ständig ändernden Bedrohungen gerecht zu werden.
Opmerkingen