FAQ





Vocês esqueceram de ajustar o horário de verão do NTP.br? Estou usando seus servidores e meu relógio adiantou/atrasou sozinho!

O uso do horário de verão no Brasil foi encerrado pelo decreto 9.772 de 26 de Abril de 2019. O NTP sempre trabalha na escala UTC e não é afetado pela mudança, nem interfere nos ajustes do fuso horário ou horário de verão. O tratamento do horário local e horário de verão são funções dos Sistemas Operacionais (Windows, Android, IOS, Linux, BSDs, Mac OS, etc).

O Sistema Operacional do seu dispositivo deve estar atualizado e corretamente configurado para evitar mudanças de fuso horário indevidas.






O que é NTS? Devo usar NTS ou NTP? O NTP.br já oferece NTS?

O NTS (Network Time Security) é a nova extensão de segurança do NTP, definida na RFC 8915 , de setembro de 2020. O NTS utiliza TLS, o mesmo mecanismo de segurança utilizado pelo HTTPS, para prover segurança criptográfica para o NTP no modo cliente/servidor.

O NTS é uma extensão do NTP, composta de de dois componentes: o NTS-KE, Network Time Security Key Establishment, um servidor que implementa um processo de negociação de parâmetros criptográficos que serão usados nas consultas e respostas NTP; e o NTS Extension fields para o NTPv4, um conjunto de campos de extensão e regras para uso da criptografia na troca de mensagens NTP.

Sempre que for viável, ou seja, sempre que houver clientes disponíveis para a sua plataforma, é recomendável utilizar NTS e NTP em conjunto. É impossível utilizar o NTS de forma separada do NTP, o NTS é uma extensão do NTP apenas. Quando o NTS não está disponível, deve-se utilizar o NTP sem criptografia.

O NTP.br oferece NTS em seus servidores stratum 1.

Veja também a seção Saiba mais > NTP > NTS e Segurança e a seção Sincronize seu dispositivo > Linux/BSD > Servidores NTP, bem como o vídeo a seguir:





Quais são os servidores disponíveis no NTP.br e quais já utilizam NTS?

São:

Servidores NTP.br
Nome IP NTS
a.st1.ntp.br 2001:12ff:0:7::186
200.160.7.186
b.st1.ntp.br -
201.49.148.135
c.st1.ntp.br -
200.186.125.195
d.st1.ntp.br -
200.20.186.76
a.ntp.br 2001:12ff::8
200.160.0.8
-
b.ntp.br 2001:12f8:9:1::8
200.189.40.8
-
c.ntp.br 2001:12f8:b:1::8
200.192.232.8
-
gps.ntp.br 2001:12ff:0:7::193
200.160.7.193



Quanto de banda Internet o NTP gasta?

Muito pouco.

O NTP faz, no pior caso, uma consulta a cada servidor a cada 64s. Esse tempo normalmente vai aumentando até chegar a uma consulta a cada 17 min. Vamos considerar para nosso cálculo o pior caso: 1 consulta a cada 64s.

Os pacotes NTP são pequenos, pouco menos que 100bytes. Consideremos 128bytes para nosso cálculo (o que nos dá uma pequena margem de segurança e garante resultados "redondos").

Vamos considerar ainda que você tenha 3 servidores NTP em sua rede, que é o mínimo que recomendamos. Cada um desses servidores faz consultas a 5 referências (os 3 servidores do NTP.br mais 2 outros, por exemplo).

Temos então: ( 3 servidores * 5 referências * 128 bytes/consulta) / (64 s/consulta) = 30 bytes/s = 240bps.

Se você é um usuário doméstico e está sincronizando seu computador usando apenas os 3 servidores públicos do NTP.br vai gastar: (1 computador * 3 referências * 128 bytes/consulta) / (64 s/consulta) = 6 bytes/s = 48 bps. Mesmo se você utilizasse uma linha discada, como se fazia na década de 1990, isso representaria apenas cerca de 0,1% ou 1 milésimo da capacidade da sua conexão Internet.




Caso utilize o NTP não preciso mais me preocupar com o horário de verão?

O uso do horário de verão no Brasil foi encerrado pelo decreto 9.772 de 26 de Abril de 2019. O NTP sempre trabalha na escala UTC e não é afetado pela mudança, nem interfere nos ajustes do fuso horário ou horário de verão. O tratamento do horário local e horário de verão são funções dos Sistemas Operacionais (Windows, Android, IOS, Linux, BSDs, Mac OS, etc).

O Sistema Operacional do seu dispositivo deve estar atualizado e corretamente configurado para evitar mudanças de fuso horário indevidas.




Como configuro um firewall para que permita os pacotes NTP?

O servidor NTP utiliza a porta UDP 123. O NTS, a extensão de segurança do NTP, utiliza a porta 4460 TCP.

Algumas implementações do NTP utilizam a porta UDP 123 também como origem para as consultas. Mas, de forma geral, um cliente NTP pode fazer as consultas a um servidor com origem em qualquer porta UDP, tendo como destino a porta UDP 123.

Muitas implementações do NTP atuam como servidor e como cliente simultaneamente. Caso sua intenção seja apenas sincronizar o relógio do seu equipamento, é importante bloquear no firewall requisições. Ou seja, não permita que seu cliente NTP seja utilizado indevidamente como servidor NTP. Servidores NTP mal configurados podem ser utilizados em ataques de amplificação. Para realizar o bloqueio, caso seu cliente origine as requisições NTP em uma porta alta UDP, basta bloquear todos os pacotes com destino ao host na porta UDP 123. Caso seu cliente origine as requisições NTP na porta UDP 123 e portanto precise receber as respostas na mesma porta, pode-se bloquear todos os pacotes com destino ao host na porta UDP 123, com exceção daqueles provenientes dos servidores NTP configurados no cliente.




Qual a diferença entre o NTP e o SNTP?

A especificação do NTP define não apenas um protocolo de comunicação, mas uma série de algoritmos complexos para selecionar os servidores e a informação de tempo e então ajustar o relógio local. Os algoritmos do NTP garantem uma confiabilidade muito maior. Garantem também que o relógio vai permanecer correto por mais tempo, mesmo quando há perda de conectividade com os servidores.

O SNTP é uma versão simplificada do NTP, que não implementa vários de seus algorítmos. Geralmente é utilizado quando há limitações de recursos de hardware, como por exemplo em dispositivos embarcados.

Com o SNTP a exatidão alcançada no tempo é normalmente menor do que com o NTP. Ou seja, o relógio apresenta normalmente um erro maior em relação à hora correta. É preferível utilizar um cliente NTP sempre que ele estiver disponível na plataforma, contudo o SNTP pode trazer resultados bons o suficiente para muitas aplicações.

Exemplos de clientes SNTP são o ntpdate e o software de sincronização de versões antigas do Windows.




Devo usar o ntpdate?

Sempre que possível utilize um cliente NTP moderno, como o chrony ou o ntpsec. Assim consegue-se uma exatidão bem maior do que com o ntpdate.

Não é recomendado utilizar-se o ntpdate no cron para manter o relógio do computador sincronizado.




O NTP é um cliente ou um servidor?

O NTP foi projetado para funcionar de forma hierárquica, com vários níveis. Dessa forma, a maioria dos softwares implementa simultaneamente as funções de cliente e de servidor. É o caso por exemplo do ntpsec e do chrony. Contudo, na configuração, é tanto possível como recomendável restringir as consultas e não utilizá-los como servidores, caso a intenção seja apenas sincronizar o relógio local.




Com quantos servidores NTP devo sincronizar meu cliente/servidor?

No mínimo 3 servidores, com referências primárias diferentes, para que os algorítmos responsáveis pela seleção dos mesmos funcionem adequadamente.

O ideal é que o número de servidores esteja entre 4 e 6.

Com 2 servidores ou menos o NTP fica sem parâmetros de comparação para julgar se a hora fornecida pelos mesmos está ou não correta. No caso caso de problemas com um dos servidores, corre-se o risco de sincronizar-se com a hora errada.




Posso configurar todos os servidores e estações de minha rede para se sincronizarem ao NTP.br?

Sim, pode.

Mas se você tem uma rede muito grande, pode ser vantajoso configurar pelo menos três servidores locais, sincronizando-os com o NTP.br, utilizando o ntpsec ou chrony, com NTS habilitado, e sincronizar os demais computadores de sua rede por meio deles. Os servidores NTP são leves e eventualmente podem ser instalados em conjunto com outros serviços, como servidores DNS, de arquivos ou Web, não precisando, necessariamente, de um hardware dedicado.




Qualquer um pode utilizar o NTP.br?

Sim, os servidores estão disponíveis publicamente e gratuitamente.

Seu objetivo principal, contudo, é atender à Internet no Brasil. Se a capacidade dos servidores em algum momento estiver comprometida, os acessos vindos de fora do pais podem ser temporariamente bloqueados.




Como posso saber com que exatidão estou sincronizado ao NTP.br?

Para o ntpsec utilize o comando: ntpq -c rl O parâmetro offset (deslocamento) indica em ms (milisegundos) a diferença de tempo do relógio local em relação à hora certa.

Para o chrony utilize o comando: chronyc tracking O parâmetro System time (hora do sistema) indica em s (segundos) a diferença de tempo do relógio local em relação à hora certa.




Qual a diferença entre o horário fornecido pelo NTP.br e os demais servidores públicos NTP?

Todos os servidores públicos NTP são referenciados ao UTC. O NTP.br é rastreável e auditável à Hora Legal Brasileira, que também é referenciada ao UTC.

Na prática, a Hora Legal Brasileira é igual ao UTC. Os relógios atômicos que definem a HLB, em conjunto com outros, em outros países, definem o UTC. Então, na prática, em uma situação normal, não há diferença.

Contudo, a maior parte dos servidores NTP disponíveis publicamente depende dos sistemas de posicionamento global como referência primária de tempo. Depender do sistema de satélites de GPS, ou outros como Glonass, BeiDou ou Galileo traz fragilidades enormes do ponto de vista de segurança da informação. Sinais de rádio sofrem interferência e podem ser forjados. Os sistemas de navegação global podem ter suas precisões propositalmente alteradas pelos países que os controlam com, por exemplo, finalidades militares. Em alguns países, este não é o caso do Brasil, laboratórios metrológicos fazem também um broadcast de sincronismo de tempo via rádio, nesse caso forjar um sinal com o relógio adulterado é trivial e os riscos de basear um servidor NTP nessa referência primária são ainda maiores. O NTP.br utiliza os relógios atômicos do Observatório Nacional, hospedados em datacenters e salas cofre no Brasil, fisicamente a poucos metros dos servidores stratum 1, como referências. Os relógios atômicos são confiáveis, independentes entre si e independentes de referências externas. Isso traz uma confiabilidade enorme ao sistema.




Qual a diferença entre a Hora Legal Brasileira e o UTC?

A Hora Legal Brasileira é fornecida, por atribuição legal, pelo Observatório Nacional. O ON gera a Hora Legal à partir de sua própria materialização do UTC, o UTC(ONRJ), que contribui para a geração do UTC.

Na prática a diferença entre o UTC(ONRJ) e o UTC fica na faixa das dezenas de ns (nanosegundos). Para as aplicações na Internet e redes essa diferença é desprezível, no sentido de ser imperceptível, podemos considerar que a Hora Legal Brasileira, entendida aqui coo o UTC(ONRJ) e o UTC são o mesmo.




Que exatidão devo esperar de um relógio acertado através de um cliente SNTP, como o ntpdate ou o relógio de versões antigas do Windows?

Erro no relógio da ordem de alguns segundos, no máximo.




Que exatidão devo esperar de um relógio acertado através de um cliente NTP (um cliente rodando o chrony ou ntpsec, por exemplo)?

Erro máximo indo de frações de milisegundos, até algumas dezenas de milisegundos, dependendo da qualidade da rede.




O que é disponibilidade seletiva?

A disponibilidade seletiva é um erro proposital no sistema GPS introduzido no sistema pelo Departamento de Defesa estadunidense por motivos de segurança nacional.

A disponibilidade seletiva foi desligada em 01/05/2000, contudo o Departamento de Defesa ainda pode ativar degradações regionais do serviço:

"New technologies demonstrated by the military enable the U.S. to degrade the GPS signal on a regional basis. GPS users worldwide would not be affected by regional, security-motivated, GPS degradations, and businesses reliant on GPS could continue to operate at peak efficiency."

Mais informações podem ser encontradas no site: https://www.gps.gov/




Onde acho mais informação sobre o NTP?

Veja a seção Links .