<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

</head>

<body dir="auto">

Harlan and Mehmet,

<div><br>

</div>

<div>I can expand on one important reason that James only alluded to with his “Kepping the Auditors happy” comment.</div>

<div><br>

</div>

<div>Passing NTP through a firewall and then using that as a critical time reference source represents a huge security risk. Here’s one detailed explanation of that risk:</div>

<div><br>

</div>

<div><a href="https://insights.sei.cmu.edu/sei_blog/2017/04/best-practices-for-ntp-services.html">https://insights.sei.cmu.edu/sei_blog/2017/04/best-practices-for-ntp-services.html</a></div>

<div>

<div><br>

<div dir="ltr"> -mel </div>

<div dir="ltr"><br>

On May 1, 2019, at 3:48 PM, James R Cutler <<a href="mailto:james.cutler@consultant.com">james.cutler@consultant.com</a>> wrote:<br>

<br>

</div>

<blockquote type="cite">

<div dir="ltr">On Wed, May 01, 2019 at 02:35:58PM -0700, Harlan Stenn wrote:<br class="">

<blockquote type="cite" class="">- Why do folks want to have one or more NTP server masters that have at<br class="">

least 1 refclock on them in a data center, instead of having their data<br class="">

center NTP server masters that only get time over the internet?<br class="">

</blockquote>

<div class=""><br class="">

</div>

Answers to that include:

<div class="">

<ul class="">

<li class="">Keeping the Auditors happy</li><li class="">Knowing that “everyone does it” - the vendor told them so</li><li class="">Bragging rights (expensive hardware)</li><li class="">Being unbothered by fighting with facilities for building penetrations and antenna mounts</li><li class="">Misunderstanding the beauty and economy Dave Mills marvelous algorithms for consistent time based on multiple sources, even those connected via internet</li><li class="">Unwillingness or inability to leverage other local resources capacity to run ntpd with minimal impact in order to have a good constellation of local NTP servers</li><li class="">Willingness to farm out time service without doing a deep dive into why and how, just leaving the design to the appliance vendors </li></ul>

<div class="">This covers most of what I have encountered in providing enterprise time services for $dayjob+clients. I probably left out some significant points, but it has been a few years...</div>

<div class="">

<div class=""><br class="">

</div>

<div class=""><br class="">

</div>

<div class=""><br class="">

</div>

<div class=""><br class="">

</div>

</div>

</div>

</div>

</blockquote>

</div>

</div>

</body>

</html>