1906VA Local Time set

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
averlon
Beiträge: 174
Registriert: 05 Okt 2012, 09:48

1906VA Local Time set

Beitrag von averlon »

Hi,
LCOS 10.42.1036 (RU9)

Ich sehe in letzter Zeit immer wieder folgende Nachrichten im Log:

Code: Alles auswählen

May 30 10:30:44 f42240ro SYSTEM_INFO: Local time set to 2023-05-30 08:30:44(UTC) received by 144.76.138.23
Mit wechselnden IP-Adressen. Soweit ich das feststellen konnte gehören die IP-Adresse nicht zum konfigurierten NTP (pool.ntp.org).

Ist das eine (erfolgreicher) Angriff?
Gruß
Karl-Heinz
Dr.Zett
Beiträge: 89
Registriert: 02 Apr 2019, 11:04

Re: 1906VA Local Time set

Beitrag von Dr.Zett »

Servus,

ein Angriff ist das sicher keiner, der Router teilt ja nur mit, dass er die Zeit synchronisiert hat. :wink:

averlon hat geschrieben: 30 Mai 2023, 11:18 Mit wechselnden IP-Adressen.
Muss ja so sein, du hast einen Pool an NTP-Servern konfiguriert, keine feste Adresse.


averlon hat geschrieben: 30 Mai 2023, 11:18 Soweit ich das feststellen konnte gehören die IP-Adresse nicht zum konfigurierten NTP (pool.ntp.org).
Laut meinen Recherchen gehört 144.76.138.23 zum Pool 0.de.pool.ntp.org.


Deine Sorge ist unbegründet.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: 1906VA Local Time set

Beitrag von tstimper »

averlon hat geschrieben: 30 Mai 2023, 11:18 Hi,
LCOS 10.42.1036 (RU9)

Ich sehe in letzter Zeit immer wieder folgende Nachrichten im Log:

Code: Alles auswählen

May 30 10:30:44 f42240ro SYSTEM_INFO: Local time set to 2023-05-30 08:30:44(UTC) received by 144.76.138.23
Mit wechselnden IP-Adressen. Soweit ich das feststellen konnte gehören die IP-Adresse nicht zum konfigurierten NTP (pool.ntp.org).

Ist das eine (erfolgreicher) Angriff?
Wenn ich auf 144.76.138.23 gehe meldet sich ein LetsEncrypt Zertifikat für collabora.fischl-online.de

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: 1906VA Local Time set

Beitrag von GrandDixence »

Ich empfehle aus Sicherheitsgründen die Zeitsynchronisation (NTP) ausschliesslich mit der Angabe von (festen) IP-Adressen. Siehe dazu:
fragen-zur-lancom-systems-routern-und-g ... ml#p100104

Aktuell verwende ich folgende Zeitservern:

ntp11.metas.ch => 195.176.26.204
ntp12.metas.ch => 195.176.26.205
ntp13.metas.ch => 195.176.26.206
https://www.metas.ch/metas/de/home/fabe ... ation.html

ptbtime1.ptb.de => 192.53.103.108
ptbtime2.ptb.de => 192.53.103.104
ptbtime3.ptb.de => 192.53.103.103
https://www.ptb.de/cms/de/ptb/fachabtei ... l-ntp.html

Auszug aus der chrony.conf (leider ohne NTS => Ubuntu 20.04):

Code: Alles auswählen

server 195.176.26.204 iburst xleave maxpoll 7
server 195.176.26.205 iburst xleave maxpoll 7  
server 195.176.26.206 iburst xleave maxpoll 7
server 192.53.103.108 iburst xleave maxpoll 7
server 192.53.103.104 iburst xleave maxpoll 7
server 192.53.103.103 iburst xleave maxpoll 7
chrony.png
Noch sicherer ist die Verwendung von "Network Time Security" (NTS). Dazu ist ein NTS-fähiger Zeitserver im lokalen Netzwerk erforderlich. Zum Beispiel Chrony ab Version 4.0. Für Chrony wird ein Linuxrechner benötigt. Es genügt bereits ein Raspberry Pi. Für mehr Informationen zu NTS, Chrony und Raspberry Pi siehe:

fragen-zur-lancom-systems-routern-und-g ... ml#p101750

fragen-zum-thema-vpn-f14/verstaendnisfr ... tml#p83805

Die oben genannten Zeitserver vom PTB unterstützen die sichere Zeitsynchronisation per NTS!

Bitte im Hinterkopf behalten, dass der im LCOS integrierte Zeitserver nur eine sehr rudimentäre (und unsichere) Zeitsynchronisation ermöglicht. Siehe dazu:
feedback-lcos-release-update-betatest-f ... tml#p91734
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Zuletzt geändert von GrandDixence am 18 Mär 2024, 22:36, insgesamt 4-mal geändert.
averlon
Beiträge: 174
Registriert: 05 Okt 2012, 09:48

Re: 1906VA Local Time set

Beitrag von averlon »

averlon hat geschrieben: 30 Mai 2023, 11:18 Soweit ich das feststellen konnte gehören die IP-Adresse nicht zum konfigurierten NTP (pool.ntp.org).
Laut meinen Recherchen gehört 144.76.138.23 zum Pool 0.de.pool.ntp.org.


Deine Sorge ist unbegründet.
[/quote]

Da würde ich mal gerne die Frage stellen wie du das festgestellt hast?

Bei all meinen Abfragen, auch auf de.pool.ntp.org oder 0.de.pool.ntp.org kommt diese IP nicht.

Ich komme auf das gleiche Ergebnis wie tstimper. Und wenn das stimmen sollte, dann ist aus meiner Sicht was faul!

Klar kann ich feste IP-Adressen von de.pool.ntp.org eintragen. Workaround - wie man das so schön bezeichnet - aber der Sinn der Sache ist das eigentlich nicht!
Ich glaube auch nicht, dass das bei der Zeitsynchronisation mit pool.ntp.org passiert. Es sieht für mich so aus als ob die "Synchronisation" von außen initiiert wird. Auch ist die Zeitdifferenz zu UTC sehr seltsam.
Die Nachrichten erscheinen immer im Pärchen!

Code: Alles auswählen

CRON_INFO: System time changed to 5/30/2023 8:30:44 (UTC), time difference is +0:00:02

Code: Alles auswählen

SYSTEM_INFO: Local time set to 2023-05-30 08:30:44(UTC) received by 144.76.138.23
Ich weiß nicht was "+0:00:02" bedeutet. Für mich sind das 2 Sekunden. Könnten aber auch 2 Minuten sein. Tage:Stunden:Minuten oder eben Stunden:Minuten:Sekunden (was für mich eher normal wäre).

Bevor jemand fragt: Es gibt keinen Eintrag in der CRON Tabelle. Zumindest nicht von mir. Vielleicht ist das ein interner Eintrag, der in der Tabelle selbst nicht sichtbar wird.
Gruß
Karl-Heinz
hschnei
Beiträge: 11
Registriert: 19 Mär 2021, 14:02

Re: 1906VA Local Time set

Beitrag von hschnei »

Hallo,

die IP 144.76.138.23 ist Teil von de.pool.ntp.org

Siehe https://www.ntppool.org/scores/144.76.138.23







MfG
Hans-Jürgen
averlon
Beiträge: 174
Registriert: 05 Okt 2012, 09:48

Re: 1906VA Local Time set

Beitrag von averlon »

@hschnei
Danke für die Info. Auf die Seite wäre ich wohl nie gekommen!

Und, dass pool.ntp.org ein Verbund von "privaten" Servern ist, da hätte ich nie im Traum daran gedacht - gut, mein Problem.

Heißt aber auch, dass über die Anfragen meines Routers bei diesen "privaten" Servern denen meine IP-Adresse bekannt wird und ich behaupte mal, dass keiner weiß was die damit machen - zumindestens machen könnten.

Ich überlege mal ob ich das gut finde. Wohl wissend, dass es viele andere Baustellen gibt!

Danke für die Info!
Gruß
Karl-Heinz
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: 1906VA Local Time set

Beitrag von tstimper »

Nimm die Zeitserver der PTB

https://www.ptb.de/cms/ptb/fachabteilun ... eit07.html


Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Antworten