Network Time Protocol

22/12/2004

Je viens de découvrir aujourd‘hui que le soit disant serveur NTP ntp.free.fr n‘est en réalité un serveur web comme un autre de chez Free.

root@gw:~# host ntp.free.fr
ntp.free.fr is an alias for perso16-g.free.fr.
perso16-g.free.fr has address 212.27.40.146
root@gw:~#    

En fait beaucoup (tous ?) les serveurs de chez Free offrent l‘accès NTP. Eux meme se synchronisant sur ns0.proxad.net, qui à son tours se synchronise sur des serveurs externes (de strate 1).

root@gw:~# ntpdc -c listpeers ntp.free.fr
client    ns0.proxad.net
root@gw:~# ntpdc -c listpeers adsl.free.fr
client    ns0.proxad.net
root@gw:~# ntpdc -c listpeers www.free.fr
client    10.1.0.1
root@gw:~# ntpdc -c listpeers ns0.proxad.net
***Warning changing to older implementation
client    horlogegps.reseau.jussieu.fr
client    swisstime.ee.ethz.ch
client    chronos.cru.fr
root@gw:~#    

Si on consulte les stats des serveurs NTP on constate que ns0.proxad.net est assez consulté mais principalement par des équipements de chez Free et que ntp.free.fr (alias perso16-g.free.fr) est très sollicité alors que perso17-g.free.fr (au hasard) ne l‘est pas du tout...

root@gw:~# ntpdc -c monlist perso17-g.free.fr | wc -l
      5
root@gw:~# ntpdc -c monlist ntp.free.fr | wc -l
perso16-g.free.fr: timed out with incomplete data
***Response from server was incomplete
    146
root@gw:~# ntpdc -c monlist ns0.proxad.net | wc -l
***Warning changing to older implementation
ns0.proxad.net: timed out with incomplete data
***Response from server was incomplete
    302
root@gw:~#    

Du coup on peut se demander quelles adresses chez Free on peut se permettre d‘utiliser sans craindre qu‘elle disparaissent. Peut-être www.free.fr, ns0.proxad.net, ns1.proxad.net, adsl.free.fr, www2.free.fr, www3.free.fr, ... Le load-balancing sur les serveur de imp.free.fr néest peut-être bon car susceptible de perturber NTP.
Il est dommage que Free ne donne pas plus d‘informations à ce sujet.

Donc si vous vous voulez vous synchroniser vous n‘êtes pas obligé d‘utiliser ntp.free.fr et il est même conseiller de mixer plusieurs serveurs pour avoir une meilleure convergeance.

Note: lorsqu‘on consulte ns0.proxad.net on s‘aperçoit que cette machine possède une interface en 10.1.0.1 et on peut voir les adresses des machines (en 10.x.y.z) qui y accèdent. D‘un point de vue sécurité NTP, peut donc aider à la découverte du mapping d‘un réseau; il devrait etre filtré ou bien certaines commandes ne devrait pas etre autorisées.

Peut-être que cela sont des choses connues mais je n‘ai pas trouvé de références sur le sujet.

MAJ: il est possible de configurer le serveur NTP pour restreindre l‘accès a certaines infos. Ce problàme est abordé dans Using NTP to Control and Synchronize System Clocks - Part II: Basic NTP Administration and Architecture, chapitre Enabling Access Control.