Professional Documents
Culture Documents
Log I Time Menadzment U Mrezama
Log I Time Menadzment U Mrezama
Slika 11. NTP algoritam za sinhronizaciju satova, izraunavanje offset-a
Izraunate vrijednosti i se proputaju kroz filtere i prolaze kroz statistike analize. Viak
se odbacuje i procjena vremena offset-a se dobija od tri najbolja preostala kandidata.
Frekvencija sata se zatim prilagoava da stalno smanjuje offset, stvarajui povratnu spregu.
Sinhronizacija je ispravna kada obje dolazne i odlazne rute izmeu klijenta i servera imaju
simetrino nominalno kanjenje.
.
Ako rute nemaju zajedniko nominalno kanjenje, sinhronizacija ima sistematsko odstupanje
od pola razlike izmeu vremena putovanja paketa od servera do klijenta i nazad.
NTP osigurava nominalnu tanost u granicama od 10 ms za WAN (engl. Wide Area Network)
na udaljenosti 2000km, i 1 ms za LAN (engl. Local Area Network).
Ana Vujovi LOG i TIME menadment u
mreama
20
2.5. Kako NTP radi?
NTP funkcionie tako to klijentski raunar alje
upit sa trenutnim vremenom nekom serveru, a on
mu odgovara sa njegovim trenutnim vremenom.
(Slika 12.) Upit se ponavlja vie puta pa se
izraunava razlika meu vremenima.
Slika 12. Upiti sa trenutnim vremenom
Klijent zatim alje upite ostalim serverima koje je podeen da provjerava, i kako dobija
podatke, tako ih uporeuje s podacima dobijenim od svih ostalih servera pa na kraju sa
lokalnim vremenom. (Slika 13.)
Slika 13. Klijent Server komunikacija
Zatim se na osnovu tih podataka, ako su serveri zadovoljili odreene parametre, namjeta
lokalni sat na klijentskom raunaru. Operacija sinhronizacije vremena se ponavlja u redovnim
vremenskim intervalima kako bi se osiguralo da lokalno vrijeme nikad ne odstupi previe od
onoga na serverima. Kako bi se smanjila zavisnost o serverima, NTP klijent cijelo vrijeme
Ana Vujovi LOG i TIME menadment u
mreama
21
rauna razliku izmeu brzine lokalnog i stvarnog sata, i takoe podeava lokalni sat na
osnovu toga. Tako je osigurano da je u trenutku sinhronizacije s serverima razlika
17
izmeu
satova mala.
NTP koristi razne metode kako bi pokuao izbjei probleme zbog eventualne zaguenosti
mree, nekontrolisanih ispada bilo kojeg od kontaktiranih servera. Intervali provjere su u
poetku manji (64, 128, ... sekundi) dok odstupanja u oitanom vremenu ne postanu esta,
nakon ega je provjere tee vriti tek na svakih 1024 sekunde (oko 17 minuta).
2.6. Bezbjednost NTP protokola
Pojam tanog vremena je bitan za utvrivanje redoslijeda u kome se dogaaji javljaju.Taan
vremenski izvor igra kljunu ulogu u praenju i otklanjanju problema koji se javljaju na
razliitim platformama preko mree. Dogaaji moraju biti u meusobnoj korelaciji bez obzira
na to gdje su generisani. Osim toga, pojam vremena (ili vremenskih raspona) se koristi u
mnogim oblicima kontrole pristupa , provjera identiteta , i enkripciji . U nekim sluajevima,
ove kontrole se mogu zaobii ili onesposobiti ukoliko se manipulisalo vremenskim izvorom.
Primjer. Ukoliko je vremenski izvor poremeen, platnom spisku bi se moglo pristupiti preko
vikenda, i unositi izmjene, to inae, pri normalnom vremenskom izvoru ne bi bilo mogue
van redovnog radnog vremena.
Mnoge organizacije su postale zavisne od NTP-a, a to oslanjanje moe biti slabost ukoliko
usluga nije pravilno zatiena. Stoga je vano da se ovi vremenski izvori adekvatno zatite od
irokog spektra prijetnji, sa unutranje i spoljanje strane, lokalno i daljinski. Vrijeme nije
nevaan servis. To je od sutinskog znaaja za uspjean rad dananjih okruenja .
Najznaajniji rizici za NTP usluge su falsifikovanje (engl. tamperig) i ometanje (engl.
jamming).
Falsifikovanjese javlja kada je NTP server zaraen ili sluajnim ili zlonamjernim
modifikacijama podataka. Ometanje se javlja kada je NTP server uniten ili sprijeen da
prua usluge.
Servis NTP je u stanju da se zatiti protiv nekih od ovih prijetnji koristei konfiguraciona
podeavanja kao to su kontrola pristupa i autentifikacija. Kontrola pristupa odreuje kojim
17
"Driftfile" je fajl u kome klijent smjeta broj koji oznaava razliku, kako je kod ponovnog pokretanja ne bi
trebao ponovo raunati (raunanje se zasniva na poreenjima tokom niza podeavanja)
Ana Vujovi LOG i TIME menadment u
mreama
22
NTP funkcijama moe da pristupi specifian ureaj ili koje mree. Autentifikacija je
omoguena upotrebom simetrinih kljueva koji su instalirani na NTP serverima i klijentima.
Zanimljivosti o NTP-u
Poetak upotrebe sinhronizacije vremena na mrenim ureajima see od poetka 1980-ih.
Poetna odstupanja od nekoliko stotina milisekundi su danas smanjena na desetke
nanosekundi.
Prva slubena specifikacija (NTP version 0) je napisana 1985. g. i sadrana u RFC 958.
Zadnja specifikacija NTP protokola je opisana 1996.-e sa RFC 2030, a predstavlja NTP
verziju 4.
Preko 100 000 NTP servera (razliitih Stratum nivoa) djeluje na Internetu.
Postoje stotine javnih NTP servera iji se popis moe vidjeti na Internetu.
NTP servis zahtijeva 1.54% od raspoloivog CPU vremena i generie 10.5, 608-bitnih
paketa u sekundi ili 0.31% od E1
18
linije.
Network Time Protocol (NTP) je distribuirana aplikacija koja se najdue, bez prekida,
odrala na Internetu.
"Leap Seconds" proizlazi iz upotrebe UTC vremena. UTC vrijeme definisano je pomou
radijacije atoma cezijuma 133. Kako se brzina rotacija Zemljine kugle smanjuje, da se
UTC poetak dana ne bi pomicao s vremenom (u odnosu na Zemljinu rotaciju), ponekad se
u UTC vrijeme ubacuje sekunda (leap second) pa se na taj nain taj dan produava za
jednu sekundu. Od 1972. godine do danas to se dogodilo 22 puta.
NTP Praktina ptimjena
(Windows 7)
18
E1- evropski standard za prenos glasa i podataka. Sastoji se od 32 kanala (0-31), svaki po 8bita. Brzina
protoka po kanalu je 64 kb/s, a ukupan protok za E1 standard je 2048 kb/s
Ana Vujovi LOG i TIME menadment u
mreama
23
Za korienje ugraenog SNTP klijenta
potrebno je odabrati sljedee:
Start
Control Panel
Date and Time
Internet Time
U tom prozoru treba odabrati opciju
Automatically synchronize with an Internet
time server, upisati jedan od NTP servera, i
nakon toga kliknuti na Update now.
Slika 14. Prikaz Windows prozora za
podeavanje NTP servera
(Linux / Unix)
Za Unix ili Linux maine kod kojih u standardnoj instalaciji ne postoji NTP program, moe ga
se naknadno instalirati.
Primjer konfiguracije ntp programa (ntp.conf):
server ime.prvog.odabranog.servera server ime.drugog.odabranog.servera server
ime.treceg.odabranog.servera driftfile /var/lib/ntp/ntp.drift
Ana Vujovi LOG i TIME menadment u
mreama
24
PRAKTIAN ZADATAK
Konfiguracija Syslog, NTP i SSH
19
operacija
Tabela 4. Tabela adresa
19
SSH (engl. Secure Shell) je mreni protokol koji korisnicima omoguava uspostavljanje sigurnog
komunikacionog kanala izmeu dva raunara putem nesigurne raunarske mree.
Ureaj Interfejs IP adresa Subnet maska Gateway Portovi
R1
Fa0/1 192.168.1.1 255.255.255.0 - S1 Fa0/5
S0/0/0 (DCE) 10.1.1.1 255.255.255.252 - -
R2
S0/0/0 10.1.1.2 255.255.255.252 - -
S0/0/1 (DCE) 10.2.2.2 255.255.255.252 - -
R3
S0/0/1 10.2.2.1 255.255.255.252 - S2 Fa0/5
Fa0/1 192.168.3.1 255.255.255.0 - -
NTP - 192.168.1.5 255.255.255.0 192.168.1.1 S1 Fa0/6
Syslog - 192.168.1.6 255.255.255.0 192.168.1.1 S1 Fa0/18
SSH - 192.168.3.5 255.255.255.0 192.168.3.1 S2 Fa0/6
Ana Vujovi LOG i TIME menadment u
mreama
25
Potrebno je spojiti raunare, servere, rutere i svieve kao na slici, a zatim ih
konfigurisati prema podacima iz tabele. Vano je da se nazivi rutera razlikuju.
1. Konfiguracija NTP servera
1.1. Testirati konekciju
SSH Klijent R3 (ping 192.168.3.1)
R2 R3 (ping 10.2.2.1)
SSH Klijent R3 (telnet 192.168.3.1) . Zatvoriti konekciju
R2 R3 (telnet 10.2.2.1) . Zatvoriti konekciju
1.2.Podeavamo ruter kao NTP klijenta
R1(config)# ntp server 192.168.1.5
1.3.Podeavamo ruter da periodino usaglaava hardverski sat sa NTP-om.
R1(config)# ntp update-calendar
Provjeravamo da li je sat update-ovan koristei komandu: show clock
1.4. Podeavamo servis vremenskih oznaka (timestamps) za logovanje
R1(config)# service timestamps log datetime msec
Navedene komande se primjenjuju na sva 3 rutera.
2. Konfiguracija log poruka na Syslog serveru
2.1. Podeavamo na ruteru podatke o Syslog serveru, koji e primati log poruke
R1(config)# logging host 192.168.1.6
Na konzoli e se prikazati poruka da je logovanje poelo.
2.2. Provjeravamo log konfiguraciju koristei komandu: show logging
2.3. Provjeravamo logove na Syslog serveru.
(Syslog server / Config / SYSLOG / Service)
Napomena: Log poruka se moe generisati na serveru samim izvravanjem komandi na
ruteru. npr: Samim ulaskom u konfiguracioni mod, i izlaskom iz istog, pojavie se poruka o
tome.
Ana Vujovi LOG i TIME menadment u
mreama
26
3. Konfiguracija SSH konekcije
Pri konfiguraciji SSH konekcije, radiemo samo sa R3 (SSH server) ruterom, i kasnije, u
testiranju sa SSH Klijentom.
3.1. Podeavamo naziv domena na R3 ruteru. (ccnasecurity.com)
R3(config)# ip domain-name ccnasecurity.com
3.2. Podeavamo korisnike za konekciju izmeu SSH Klijenta i R3 (SSH servera);
Kreiramo korisniko ime SSHadmin, dodjeljujemo privilegije najvieg stepena (15) i
pasvord ciscosshpa55.
R3(config)# username SSHadmin privilege 15 secret ciscosshpa55
3.3. Podeavamo dolazne VTY
20
linije na R3 ruteru
Koristimo lokalno korisniko ime za login i validaciju. Prihvatamo jedino SSH
konekcije.
1. R3(config)# line vty 0 4
2. R3(config-line)# login local
3. R3(config-line)# transport input ssh
1. Ova linija oznaava da moemo imati max 5 virtuelnih konekcija istovremeno (a broj
dozvoljenih na ureaju je 16 line vty 0 15)
2. Ova linija oznaava da e se za login koristiti lokalno korisniko ime
3. Ova linija oznaava da emo da prihvatimo samo dolazne (input) ssh konekcije
3.4. Briemo postojee kljueve sa R3 rutera (SSH server)
R3(config)# crypto key zeroize rsa
Napomena: Ukoliko kljuevi ne postoje, javie se sledea poruka: % No Signature RSA
Keys found in configuration.
3.5. Generiemo kriptovani par kljueva za R3.
Ruter koristi RSA kljueve za autentifikaciju i enkripciju SSH podataka.
Konfigurisaemo duinu kljua na 1024. (Default je 512, a moe biti od 360 - 2048)
R3(config)# crypto key generate rsa
20
VTY (engl. Virtual Teletype, Virtual Terminal Line) je dio TTY (engl. Terminal controller) , virtuelan i
koristi se za kontrolu dolaznih Telnet konekcija. (remote connection)
Ana Vujovi LOG i TIME menadment u
mreama
27
The name for the keys will be: R3.ccnasecurity.com
Choose the size of the key modulus in the range of 360 to
2048 for your
General Purpose Keys. Choosing a key modulus greater than
512 may take a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-
exportable...[OK]
3.6. Provjeravamo SSH konfiguraciju koristei komandu: show ip ssh
Provjeravamo da li su timeout za autentifikaciju 120 i broj pokuaja 3 (default-ne
vrijednosti)
3.7. Podeavamo nove vrijednosti za SSH timeout (90) i broj pokuaja (2), i podeavamo
verziju (2)
R3(config)# ip ssh time-out 90
R3(config)# ip ssh authentication-retries 2
R3(config)# ip ssh version 2
Provjeravamo da li su napravljene izmjene u SSH konfiguraciji koristei komandu:
show ip ssh
3.8. Pokuamo da ostvarmo Telnet konekciju: SSH Klijent R3 (SSH Server)
Uemo u podeavanja raunara (SSH Klijenta), zatim Command Prompt
PC> telnet 192.168.3.1
Ova konekcija nee uspjeti jer smo na R3 ruteru podesili da prima samo SSH konekcije
3.9. Konektujemo se na R3 sa SSH Klijenta upotrebom SSH konekcije
Uemo u podeavanja raunara (SSH Klijenta), Command Prompt, koristimo
korisniki ID, a pasvord za sesiju je onaj koji smo mi postavili: ciscosshpa55
PC> ssh l SSHadmin 192.168.3.1
Ana Vujovi LOG i TIME menadment u
mreama
28
3.10. Konektujemo se na R3 sa R2 rutera upotrebom SSH konekcije
Koristimo korisniki ID i pasvord za sesiju je onaj koji smo mi postavili:
ciscosshpa55, i moramo postaviti verziju (2).
R2# ssh v 2l SSHadmin 10.2.2.1
3.11. Provjerite rezultate. Sada je sve podeeno
ZAKLJUAK
Syslog protokol upravlja logovima unutar raunarskih sistema. Poruke koje se generiu i
razmjenjuju kroz mreu imaju svoju teinu i vanost za sistem. Protokol kao to je ovaj ima
mogunost da tumai poruke i na taj nain upravlja sistemom, prati njegove slabosti i
ispravlja greke. Sa razvojem tehnologija, razvija se i protokol i njegova sloenost raste.
Poruke mogu da ponesu vie detalja i analizom istih moe bolje da se detektuje problem i
ugodi sistemu.
NTP prua odlian nain za odravanje velikog broja vorova usko sinhronizovanim.
Efikasno dizajnirana NTP infrastruktura moe postii ovo sa minimalnim optereenjem mree
i takoe moe odravati visok nivo preciznosti i bezbjednosti. Osim toga, NTP rjeenja su
relativno laka za projektovanje i implementaciju , to ih ini idealnim za sve tipove posla, od
malog biznisa pa sve do velikih preduzea sa irokom primjenom. Sinhronizacija sata koju
NTP prua moe se koristiti u razliite svrhe , ukljuujui i voenje rauna o vremenskim
oznakama kako bi razliiti mreni vorovi bili sinhronizovani , to omoguava lake
rjeavanje mrenih i bezbjednosnih problema .
Ana Vujovi LOG i TIME menadment u
mreama
29
LITERATURA
1. http://mschuette.name/files/uni/syslog-protocols-080522.pdf
2. http://en.wikipedia.org/wiki/Syslog
3. http://tools.ietf.org/html/rfc5424
4. http://www.sematech.org/docubase/document/4736aeng.pdf
5. http://www.eecis.udel.edu/~mills/database/reports/ntp4/ntp4.pdf
6. http://anselmo.homeunix.net/Sun-BluePrints/0701/NTP.pdf
7. http://www.alliedtelesis.com/media/fount/software_reference/291/at8800/ntp.pdf
8. http://www8.cs.umu.se/kurser/5DV020/HT07/ntp.pdf
9. https://www.cisco.com/en/US/docs/switches/datacenter/sw/5_x/nx-
os/system_management/configuration/guide/sm_3ntp.pdf