goodbytes
Goto Top

NTP im Netzwerk

Hallo an alle,

bisher holte sich unsere äußere Firewall die aktuelle Zeit per NTP aus dem Internet. In der DMZ diente sie selbst als NTP-Server, in den internen Netzen war der Backbone dafür zuständig, er holte sich die Zeit von der Firewall. (Die Domain-Clients bekommen es natürlich über ihre DC's.)

Da unsere neuen Firewalls keine NTP-Server Funktionalität mehr anbieten überlegen wir nun, was künftig der beste Weg wäre. Den direkten Zugang ins Internet lassen wir nicht zu.

Natürlich könnte man eine Linux-Kiste einsetzen o.ä. Was setzt ihr da für Lösungen für NTP im Netzwerk ein?

VG goodbytes

Content-ID: 668912

Url: https://administrator.de/forum/ntp-im-netzwerk-668912.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

Kraemer
Kraemer 22.10.2024 um 08:41:38 Uhr
Goto Top
Moin,

zwar schon lange her - aber USB-Funkuhren sind da ganz nett für

Gruß
em-pie
em-pie 22.10.2024 aktualisiert um 08:49:46 Uhr
Goto Top
Moin,

da unsere neuen Firewalls keine NTP-Server Funktionalität mehr anbieten
welche Firewalls kommen denn zum Einsatz?
Sophos' XGS?
Die kann als NTP-Relay dienen: https://www.avanet.com/kb/sophos-firewall-als-ntp-server-einrichten/

Ansonsten:
für unsere Maschinensteuerungen (VLAN mit sehr restriktiven Zugriffen) habe ich eine Debian-Maschine aufgesetzt, die dort als NTP-Server dient und selbst Zeiten vom DC holt.
Die DCs holen sich die Zeit bei uns von der XGS...

Du könntest also auch eine Linux-Kiste aufsetzen, die ggf. in die DMZ/ sep. VLAN setzen. Die DCs fragen den NTP an und die DCs verteilen selbst dann ins übrige LAN.
Dani
Dani 22.10.2024 aktualisiert um 08:59:40 Uhr
Goto Top
Moin,
Was setzt ihr da für Lösungen für NTP im Netzwerk ein?
NTP Appliances von Meinberg und Gude im Einsatz.

Wie wichtig ist denn die Zeit? face-smile Sprich habt ihr Systeme im Einsatz, wo der Zeitstempel elementar wichtig ist (Produktionsdaten, Produktionsstraßen, etc.)?


Gruß,
Dani
Looser27
Looser27 22.10.2024 um 10:14:50 Uhr
Goto Top
Gegenfrage: Welche Firewall / UTM hat dieses Feature denn nicht mehr????
aqui
aqui 22.10.2024 aktualisiert um 12:15:44 Uhr
Goto Top
RaspberryPi mit einer GPS Maus oder DCF77 Modul als zentralen NTP Server:
Netzwerk Management Server mit Raspberry Pi
Letztlich das was Meinberg und Gude ja auch kommerziell machen. Komisch aber das die FW das angeblich nicht kann. Jeder Baumarkt Router kann heute als NTP Server laufen.
clSchak
clSchak 22.10.2024 um 15:27:03 Uhr
Goto Top
Zitat von @Dani:

Moin,
Was setzt ihr da für Lösungen für NTP im Netzwerk ein?
NTP Appliances von Meinberg und Gude im Einsatz.

Wie wichtig ist denn die Zeit? face-smile Sprich habt ihr Systeme im Einsatz, wo der Zeitstempel elementar wichtig ist (Produktionsdaten, Produktionsstraßen, etc.)?


Gruß,
Dani

This ... wenn du 2 Zeiterfassungen in Sichtweite hast und diese >2s Zeitdifferenz anzeigen, wirst du lernen, wie schnell Produktionsmitarbeiter Mitgabeln und Fackeln bereithalten face-smile.

Eigentlich spielen die verbundenen Systeme eine untergeordnete Rolle, spätestens mit OTP wird das essentiell.

Gruß
@clSchak
HansDampf06
HansDampf06 22.10.2024 um 20:22:37 Uhr
Goto Top
Ganz ehrlich: Bei der Fragestellung habe ich zuerst auf den Kalender geschaut, ob heute schon Freitag ist ...

Der TO setzte vorher eine Firewall ein, die sich hinsichtlich der für wichtig gehaltenen Zeit im Internet bediente. Alle anderen in der DMZ und im Intranet bedienten sich bei der Firewall. Das ist bei genauerer Betrachtung kaum anders, als wenn sich die DC's - zumindest einer von ihnen (PDC / FSMO-Master) - direkt im Internet bedienen würde. Jedenfalls hat seine aktuelle Sicherheitsdoktrin mit einer Zeitversorgung übers Internet kein Problem.

Nun steht die Firewall nicht mehr als Zwischenstation zur Verfügung. Na dann holt sich halt ein DC die Zeit für alle anderen eben direkt aus dem Internet. Und wenn es nun unbedingt - aus welchem sachlichen Grund auch immer - doch noch eine Zwischenstation sein soll, ohne dass es die Firewall sein kann, na dann ist(/sind) bereits die logischerweise und vor allem offenkundig auf der Hand liegende(n) Option(en) genannt worden: Irgendeine "Kiste" im Intranet oder in der DMZ muss die frühere Rolle der Firewall als Zwischenstation übernehmen! Freilich kann das auch eine VM sein, wenn das der Sicherheitsdoktrin gerecht wird.

Die Hinweise auf funkgetriebene Real-Time-Hardware-Uhren sind indes nur dann für die Problemlösung des TO relevant, wenn er sich von der bisherigen Zeitversorgung übers Internet vollständig trennen möchte. Das ist aber nach seinen Ausführungen vorerst nicht erkennbar.

Viele Grüße
HansDampf06
goodbytes
goodbytes 24.10.2024 um 10:31:39 Uhr
Goto Top
Vielen Dank euch allen für die Antworten, ich denke mal, dass eine explizite debian-Maschine in der DMZ nur für diesen Zweck gut abgeschottet eine gute Lösung darstellt, zumal man hier auch mehrere Quellen abrufen kann.
Von einer völlig lokalen Lösung ohne Internet würde ich absehen - vorher hat sich hier unsere Firewall auch aus dem Internet bedient und als NTP-Server fungiert.

VG goodytes