log i time menadžment u mrežama

U Podgorici, 2014.

FAKULTET ZA INFORMACIONE TEHNOLOGIJE

UNIVERZITET MEDITERAN

SEMINARSKI RAD

LOG I TIME MENADMENT U MREAMA

Student: Mentor:

Ana Vujovi 03/10 Branko Biberdi

Ana Vujovi LOG i TIME menadment u mreama

2

SADRAJ

UVOD ....................................................................................................................................... 3

1. SYSLOG ............................................................................................................................ 4

1.1. ta je syslog? .............................................................................................................. 4

1.2. Format Syslog poruke ................................................................................................. 4

Tabela 1. Oprema (Facility) ...................................................................................................... 5

1.3. Kako radi SYSLOG? ............................................................................................... 10

Syslog komande u Packet Traceru ...................................................................................... 13

2. NTP .................................................................................................................................. 13

2.1. ta je NTP? ............................................................................................................... 13

SNTP (Simple Network Time Protocol) ......................................................................... 14

2.2. Slojevi satova ............................................................................................................ 15

2.3. Tipovi klijenata i servera .......................................................................................... 16

2.4. Algoritam za sinhronizaciju satova .......................................................................... 17

2.5. Kako NTP radi? ........................................................................................................ 19

2.6. Bezbjednost NTP protokola ...................................................................................... 20

Zanimljivosti o NTP-u ............................................................................................................ 21

NTP Praktina ptimjena ............................................................................................... 22

PRAKTIAN ZADATAK ...................................................................................................... 23

Konfiguracija Syslog, NTP i SSH operacija ........................................................................... 23

1. Konfiguracija NTP servera ........................................................................................... 24

2. Konfiguracija log poruka na Syslog serveru ................................................................ 24

3. Konfiguracija SSH konekcije ....................................................................................... 24

ZAKLJUAK ......................................................................................................................... 27

LITERATURA ........................................................................................................................ 28


3

UVOD

Menadment u mreama predstavlja veliki izazov za administratore zbog raznolikosti i

kompleksnosti dananjih mrenih arhitektura. Razvoj tehnika i protokola je vrlo vaan kako bi

se omoguilo uspjeno nadgledanje i upravljanje mreom. Veina arhitektura za upravljanje

mreom se bazira na istim principima. Kada govorimo o pojedinanim segmentima mree,

jedan od protokola koji nam pomae za upravljanje i praenje logova1 je SYSLOG. U sloenim

sistemima, zbog funkcionalnosti, ali i sigurnosti, vrlo esto se koristi centralizovano

evidentiranje i praenje aktivnosti. Syslog protokol predstavlja jednu od mogunosti

uspostavljanja centralizovanog ili udaljenog evidentiranja aktivnosti.

Sa druge strane, za sinhronizaciju vremena izmeu sistema i ureaja koji pripadaju mrei,

koristimo NTP (engl. Network Time Protocol). NTP protokol se brzo razvio iz obinog modela

u model s velikom pouzdanou. Potrebe za veim razvijanjem mrea vodile su do naunih

istraivanja u pravcu definisanja mjernih sposobnosti koje opisuju ponaanje mrea. Veina

mjernih metoda bazira se na mjerenju vremena. Potrebe za tanim vremenom javile su se pri

transakcijama u bazama podataka, kod kontrole leta aviona, detekcije pozicije aviona, kod

sinhronizacije za real-time telekonferencije, kod simulacija mrenog nadzora i dr. Zbog toga je

razvijen NTP kojim moemo definisati neko standardno vrijeme.

U nastavku emo objasniti oba protokola, ta su, koji je njihov zadatak, strukturu, na kom

principu rade, i dr.

1 Log zapis (o performansama, dogaajima ili aktivnostima)


4

1. SYSLOG

1.1. ta je syslog?

Syslog je standard za generisanje log-ova na raunarima. On razdvaja softver koji generie

sistemske poruke, koje se uvaju na sistemu, od softvera koji prijavljuje i analizira poruke.

Moe se koristiti za upravljanje raunarskim sistemom i provjere bezbjednosti, kao i za analizu

i upravljanje logovima. Podran je na veini ureaja i upravo zbog toga syslog se moe koristiti

za ujedinjavanje logova vie razliitih tipova sistema u centralnu bazu.

Poruke su oznaene kodom u zavisnosti od softvera koji generie poruke, pa imamo sledee:

auth, authpriv,deamon, cron, ftp, lpr, kern, mail, news, syslog, user, uucp, local0 ... local7, a

pored toga, svakoj se dodjeljuje vanost (engl. severity), pa imamo: Emergency, Alert, Critical,

Error, Warning, Notice, Info, Debug.

Specifina konfiguracija moe usmjeriti poruke do razliitih ureaja (konzole), fajlova

(/var/log/) ili udaljenih syslog servera. Veina implementacija omoguava komandnu liniju,

koja se naziva logger, koja omoguava slanje poruka na server (syslog). Neke implementacije

omoguavaju filtriranje i prikaz syslog poruka.

1.2. Format Syslog poruke

Syslog poruka dozvoljava UTF-82 za polja podataka, nezavisna je od transportnog protokola,

ima kompletnu vremensku oznaku, omoguava ID poruke i struktuirana polja za podatke sa

namespace-ovima. Veliina poruke mora biti min. 480 okteta, trebala bi obuhvatiti max. 2048

okteta i moe primati vee poruke (ukoliko je vaa, treba odbaciti payload, a moe se i odbaciti

poruka)

Zaglavlje (HEADER) 8-bitno polje, set karaktera koji se koristi unutar njega mora biti 7-

bitni ASCII3.

o Prioritet () je 8-bitni broj naznaen uglastim zagradama, i predstavlja facility4

i severity5 poruke. Prva 3 bita predstavljaju severity poruke (a sa 3 bita moemo

2 UTF-8 UCS (Universal Character Set) Transformation Format zapisi od 1Bajta 3 ASCII - American Standard Code for Information Interchange engleski alfabet, za brojeve, zagrade i jo po neki kontrolni karakter, to je inilo ukupno 128 moguih slova (u 7 bita). 4 Facility - oprema koja oznaava odakle poruka ide, tj na koji ureaj se odnosi (mora biti u opsegu od 0-23) 5Severity - vanost poruke (mora biti u opsegu od 0-7)


5

predstaviti 23 = 8 razliitih vanosti) , a ostalih 5 bitova predstavlja facility poruke.

Facility i Severity vrijednosti generiu aplikacije na kojima se odvijaju neki dogaaji.

o Izraunavanje vrijednosti prioriteta (PRI)

Da bismo izraunali vrijednost PRI, pomnoimo brojanu vrijednost Facility sa 8, i na

tu vrijednost dodamo brojanu vrijednost Severity. (8 x Facility + Severity)

Pr1. Poruka kernela (Facility = 0), vanosti Emergency (Severity = 0), e imati

prioritet.

Pr2. local4 poruka(Facility = 20), vanosti Notice (Severity = 5), e imati prioritet

.

U sledeim tabelama se nalazi spisak svih vrijednosti Facility i Severity

Tabela 1. Oprema (Facility)

Facility broj Kod Facility opis

0 kern Poruke kernela

1 user Poruke na nivou korisnika

2 mail Mail sistem

3 daemon6 Sistemski daemon

4 auth Poruka za autentifikaciju

5 syslog Syslog interna poruka

6 lpr Podsistem linije tampaa (line printer subsystem)

7 news Podsistem za mrene novosti (network news subsystem)

8 uucp UUCP podsistem

9 Daemon za sat

10 authpriv Poruka za autentifikaciju

11 ftp FTP daemon

12 - NTP podsistem

13 - Provjera logova

14 - Log upozorenja

15 cron Daemon za sat

16 local0 Lokalna upotreba 0 (local0)








6 Daemon samostartujui program


6

Tabela 2. Vanost (Severity)

Kod Vanost Kod Opis Detaljan opis

0 Emergency emerg (panic) Sistem je

neupotrebljiv

Panic stanje obino zahvata vie aplikacija, servisa, sajtova. U ovom

sluaju, obino se obavijeste sva tehnika lica

1 Alert alert Akcija mora biti

preuzeta odmah

Potrebno je ispraviti

problem to prije i obavjetava se osoblje koje moe rijeiti problem.

2 Critical crit Kritino stanje

Potrebno je ispraviti

problem to prije, ali je problem u sekundarnom

sitemu

3 Error err (error) Greke

Nije hitno. Treba se

proslijediti

administratorima ili

developerima. Svaki

prblem mora biti rijeen u odreenom vremenskom periodu.

4 Warning warning (warn) Upozorenja

Nije greka, ali nagovjetava da e nastati greka ukoliko se nita ne preduzme.

5 Notice notice Normalno, ali bitno

stanje

Dogaaji koji su rijetki i ne predstavljaju stanje greke. Potrebno je obavijestiti

developere i admine, da

rijee potencijalne potrebe. (nije hitno)

6 Information

al info

Informativne

poruke

Normalne operativne

poruke mogu biti izvjetaji, mjerenja protoka, itd.

7 Debug Debug

Poruke za debug

(ispravljanje

greaka)

Informacija korisna

developeru pri ispravljanju

greaka


7

o Verzija (Version) ovo polje oznaava verziju syslog protokola. Broj verzije se mora

poveati za svaku novu specifikaciju syslog protokola koja unosi promjene u bilo kom

dijelu zaglavlja. Promjene ukljuuju dodavanje ili uklanjanje polja, promjene u sintaksi

ili semantici postojeih polja i dr.

o Vremenska oznaka (Timestamp) - predstavlja datum i vrijeme kada je poruka

generisana. (Povlai sistemsko vrijeme, i ukoliko vrijeme na serveru nije dobro, poruka

koja doe imae pogrenu vremensku oznaku). Vremenske oznake moraju pratiti

sledea pravila:

1. T i Z karakteri u sintaksi vremenskih oznaka moraju biti velikim slovom

2. T je obavetno u sintaksi vremenskih oznaka

Pr1. 1985-04-12T23:20:50.52Z -(12.april.1985 u 23h, 20 min, 50.52s -UTC7)

Pr2. 2003-10-11T22:14:15.003Z (11.oktobar.2003, 22:14:15, 3 ms - UTC)

o Naziv hosta (Hostname) sadri podatke o tanom ureaju sa kog je poslata syslog

poruka. Ovo polje treba da sadri naziv hosta i naziv domen inicijatora poruke. Redosled

podataka u polju hostname treba da bude sledei:

Naziv domena

Statina IP adresa

Naziv hosta

Dinamika IP adresa

Null vrijednost (nilvalue)8

o Naziv aplikacije (app-name) sadri podatke o ureaju ili aplikaciji koja je inicirala

poruku. To je string bez znaenja. Namjenjen je za filtriranje poruka na releju ili

kolektoru. Ovo polje moe popuniti operater.

NILVALUE e se upotrijebiti ukoliko syslog aplikacija ne zna koja je

aplikacija u pitanju ili ukoliko ne moe da doe do te informacije. Razlozi

zbog kojih ureaj ne moe doi do tih informacija su: lokalne polise ili zbog

toga to informacije nisu dostupne ili se ne primjenjuju na tom ureaju.

7 UTC- engl. Coordinated Universal Time ili GMT engl. Greenwich Mean Time 8 Nilvalue treba se koristiti samo onda kada syslog aplikacija nema naina da dobije pravi naziv hosta


8

o ID procesa (proc-id) je vrijednost koja je ukljuena u poruku, ne posjeduje specifinu

sintaksu ili semantiku i esto se koristi da obezbijedi naziv procesa ili ID procesa

povezanog sa syslog sistemom.

NILVALUE se moe koristiti kada ID procesa nije dostupan. Na ugraenim sistemima,

bez operativnog sistema, ID procesa moe biti reboot ID.

NILVALUE se moe koristiti ukoliko nijedna vrijednost nije obezbijeena.

Ovo polje zavisi od implemantacije i moe ga popuniti operater.

PROC-ID se takoe moe koristiti da bi se utvrdilo koje poruke pripadaju kojoj grupi

poruka.

Npr. SMTP mail transportni agent moe ubaciti SMTP ID transakcije u PROC-ID, to

e omoguiti releju ili kolektoru da grupiu poruke bazirane na SMTP transakciji.

o ID poruke (msg-id) treba da definie tip poruke, to je string bez dodatnog znaenja,

koristi se za filtriranje poruka na releju i kolektoru.

Poruke sa istim ID-em, odrazie se izvravanjem istih radnji.

NILVALUE se treba koristiti kada salo aplikacija nije ili ne moe da obezbijedi ni

jednu vrijednost. Ovo polje moe popuniti operater.

Npr. Fajervol bi mogao da koristi MSG-ID: TCPIN za dolazei TCP saobraaj i MSG-

ID: TCPOUT za odlazei TCP saobraaj.

.

o Struktuirani podaci (structured-data) - obezbjeuju mehanizam za izraavanje

informacija u dobro definisanom i shvatljivom formatu. Set karaktera koji se koriste za

uvanje podataka u ovom polju su 7-bitni ASCII. Struktuirani podaci mogu da sadre

nula, jedan ili vie elemenata struktuiranih podataka.

U sluaju da structured-data nema elemenata, tada je potrebno da postoji NILVALUE.

Kolektori mogu da ignoriu loe formatirane strdata, dok releji moraju da ih proslijede.

o Tekst poruke (msg) sadri slobodnu formu poruke koja prua informacije o dogaaju.

Set karaktera unutar poruke moe biti Unicode, kodiran UTF-8. Syslog aplikacija ne

moe ifrovati poruku Unicode-om, ve moe koristiti neki drugi koder.

Syslog aplikacija bi trebala izbjegavati oktete ispod 32 (ASCII kontrolni karakteri). Ove

vrijednosti su upotrbljive, ali syslog aplikacija ih moe modifikovati prilikom prijema.

Npr. Vrijednost 0 moe biti promijenjena u /0.


9

Syslog aplikacija ne bi trebala da modifikuje bilo koju drugu vrijednost okteta.

Ukoliko syslog aplikacija kodira poruku sa UTF-8, string mora poeti sa Unicode bajtom

maske BOM. Aplikacija mora da kodira najkraom formom i da koristi bilo koju validnu

UTF-8 sekvencu.

Primjer syslog poruke:

1 2003-10-11T22:14:15.003Z mymachine.example.com su - ID47

- BOMsu root failed for lonvick on /dev/pts/8

Da protumaimo poruku:

Prioritet je: 34 (8 x4 + 2 ; facility = 4, severity = 2)

Verzija:1

Vremenska oznaka: 11.oktobra.2003 u 22:14:15, 3 ms UTC je generisana poruka

Naziv hosta: DNS - mymachine.example.com

Naziv aplikacije: su

ID procesa: -

ID poruke: ID47

Struktuirani podaci: - (nema)

Poruka: su root failed for lonvick on /dev/pts/8 , kodirana UTF-8, to nam pokazuje

BOM bajt

Da protumaimo poruku:

1 2003-10-11T22:14:15.003Z mymachine.example.com evntslog - ID47

[exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"]

BOMAn application event log entry...

Prioritet je: 165 (8 x20 + 5 ; facility = 20, severity = 5)

Verzija:1

Vremenska oznaka: 11.oktobra.2003 u 22:14:15, 3 ms UTC je generisana poruka

Naziv hosta: DNS - mymachine.example.com

Naziv aplikacije: evntslog

ID procesa: -

ID poruke: ID47

Struktuirani podaci: [exampleSDID@32473 iut="3" eventSource="Application"

eventID="1011"]

Poruka: An application event log entry... , kodirana UTF-8, to nam pokazuje BOM bajt


10

1.3. Kako radi SYSLOG?

Syslog je klijent/server simplex9 protokol. Log aplikacija prenosi poruku do syslog prijemnika.

Taj prijemnik se naziva syslogd10 ili syslog server. Ove poruke se mogu i zatititi upotrebom

enkripcija, SSL/TLS protokola. Port koji koristi syslog je 514.

Syslog koristi tri sloja:

syslog sadraj (syslog content) upravljaka informacija koja se nalazi u syslog

poruci

syslog aplikacioni sloj (syslog application) - upravlja generisanjem, interpretacijom,

rutiranjem i skladitenjem syslog poruka.

syslog transportni sloj (syslog transport) alje podatke na komunikacioni kanal, i

preuzima ih sa komunikacionog kanala.

Svaki od slojeva sadri odreeni broj funkcija koje se izvravaju, pa imamo:

Inicijator (originator) generie syslog sadraj koji e se prenositi u poruci

Relej (relay) - prosleuje, prihvata poruke od inicijatora ili drugih releja i alje ih

kolekcionarima ili drugim relejima.

Kolektor (collector) prikuplja syslog sadraj za dalju analizu

Analizator(analizer) analizira prikupljene poruke

Transportni poiljalac (transport sender) prosleuje syslog poruku na specifian

transportni protokol

Transportni primalac (transport receiver) preuzima syslog poruke od specifinog

transportnog protokola.

Sadraj Sadraj

Syslog aplikacioni sloj Syslog aplikacioni sloj Inicijator, relej,kolekcionar,

analizator

Syslog transportni sloj Syslog transportni sloj Transportni primalac,

Transportni poiljalac

Slika 1. Prikaz syslog slojeva

9 Simplex prenos u jednom smjeru 10 Syslogd prikuplja poruke iz kernela, aplikacija i sa mree, koje filtrira po prioritetu. Upisuje poruke u fajlove, programe, terminale, i mree

Komunikacioni kanal


11

Proces kretanja poruka:

Ureaj/Inicijator generie poruku,

Transportni poiljalac alje na komunikacioni

kanal,

Relej prenosi,

Transportni primalac preuzima sa

komunikacionog kanala,

Kolektor sakuplja pristigle poruke, i alje:

o Skladite koristi se za uvanje poruka

o Analizator koristi se za analizu ili saimanje

podataka

Slika 2. Kretanje syslog poruka

Na slici 2. je prikazan osnovni sluaj kretanja poruka, od odredita do krajnje take, ali to nije

i jedini sluaj. Inicijator i relej mogu biti konfigurisani da alju iste poruke na vie kolektora i

releja. Na sledeim slikama emo vidjeti prikaz jo nekih sluajeva kretanja poruka.

Inicijator Kolektor

Slika 3. Inicijator Kolektor

Inicijator KolektorRelej

Slika 4. Inicijator - Relej - Kolektor

Inicijator KolektorRelej Relej

Slika 5. Inicijator - Relej -Relej- Kolektor

Transport sender

Transport receiver


12

Inicijator

KolektorRelej

Relej Kolektor

Slika 6. Inicijator - Relej - Kolektor

- Relej- Kolektor

Inicijator

Kolektor

KolektorRelej

Slika 7. Inicijator - Kolektor

- Relej- Kolektor

Inicijator

KolektorRelej

Kolektor

Relej

Inicijator

Slika 8. Inicijator Relej- Kolektor

- Relej- Kolektor

Inicijator-Kolektor


13

Syslog komande u Packet Traceru

1. A.B.C.D IP adresa hosta na koji elimo da se logujemo

2. buffered podeavanje veliine bafera za logovanje (4096-2147483647)

3. console podeavanje loging parametara za konzolu

4. host podeavanje IP adrese servera

5. on omoguavanje logovanja na svim dostupnim destinacijama

6. trap podeavanje nivoa syslog servera

7. userinfo omoguavanje pregleda korisnikih informacija iz privilegovanog moda

2. NTP

2.1. ta je NTP?

NTP (engl. Network Time Protocol) je protokol koji je namijenjen sinhronizaciji sistemskih

satova raunara preko mree. Protokol je opisan kao klijent-server model, ali se lako moe

koristiti kao peer-to-peer (jednaki sa jednakim) veza, gdje oba vora obezbjeuju izvor vremena

(server server komunikacija). Implementacija alje i prima vremenske oznake 11koristei

UDP (engl. User Datagram Protocol) protokol, preko porta 123. Takoe, moe koristiti

broadcast12 i multicast13, gdje klijenti oslukuju promjene vremena nakon inicijalne povratne

razmjene podeavanja. NTP obezbjeuje upozorenja u sluaju podeavanja skoka sekunde14,

ali ne prenosi informacije o lokalnim vremenskim zonama ili ljetnjem raunanju vremena. Za

komunikaciju izmeu servera i klijenta koristi se i jednostavniji protokol SNTP (engl. Simple

NTP).

11 NTP koristi 128-bitne vremenske oznake koje se sastoje iz 2 dijela: 64-bitni dio za sekude i 64-bitni dio za

djelove sekunde, dajui tako vremensku skalu koja se kree izmeu 264 sekunde i 2-64 sekunde. 12 Broadcast jedan paket se alje svim vorovima u mrei 13 Multicast jedan paket se alje na specifian podskup vorova na mrei 14 "Leap Seconds"

1

2

3

4

5

6

7


14

Sistemski sat moe biti podeen preko:

o NTP-a

o SNTP -a15

o Virtuelnog mrenog vremenskog servisa (VINES16)

o Runo

SNTP (Simple Network Time Protocol)

Neki ureaji podravaju SNTP. To je pojednostavljena korisnika verzija NTP-a. SNTP moe

samo primati vrijeme sa NTP servera, a ne moe se koristiti za prosleivanje vremena drugim

sistemima. SNTP osigurava tanost vremena u granicama do 100 milisekundi, ali zbog manje

tanosti od NTP-a ne smije se koristiti u sistemima gdje se zahtjeva pretjerana tanost.

Sistemski sat odrava vrijeme preko UTC-a, odnosno GMT. Informacije o lokalnom vremenu

dobijaju se relativnim pomakom na UTC za pojedine vremenske zone. Sistemski sat odrava

vrijeme bilo ono tano ili ne, ukoliko ono nije tano nee biti proslijeeno dalje.

Tabela 3. Verzije NTP protokola - Trenutne verzije NTP-a

RFC dokumenat Naziv

RFC 958 Network Time Protocol (NTP)

RFC 1059 Network Time Protocol (v1)

Specifikacija i Implementacija


Specifikacija i Implementacija


Specifikacija, Implementacija, Analize

RFC 1361 Simple Network Time Protocol (SNTP)

RFC 1769 Simple Network Time Protocol (SNTP)

RFC 2030 Simple Network Time Protocol (SNTP) v4,

IPv4, IPv6 i OSI

RFC 4330 Simple Network Time Protocol (SNTP) v4,

IPv4, IPv6 i OSI

RFC 5905 * Network Time Protocol (v4),

Protokol i Algoritamska specifikacija

RFC 5906 * Network Time Protocol (v4),

Autokey specifikacija

RFC 5907 * Definicije za upravljake objekte za Network Time

Protocol (v4)

RFC 5908 * Network Time Protocol (NTP) Serverska opcija za

DHCPv6

15 SNTP - engl. Simple Network Time Protocol 16 VINES engl. VIrtual NEtwork Service


15

2.2. Slojevi satova

NTP koristi hijerarhijski, polu-slojeviti

sistem vremenskih izvora. Svaki nivo ove

hijerarhije je nazvan stratum i

dodijeljen mu je broj, poevi sa 0 od

vrha. Broj predstavlja rastojanje od

referentnog sata i koristi se da sprijei

cikline zavisnosti u hijerarhiji. Stratum

(sloj) nije uvijek kvalitetan i pouzdan;

moe se desiti da su vremenski izvori

3.sratuma veeg kvaliteta od onih

2.stratuma. Slika 9. Hijerarhijska struktura NTP-a

Direktna konekcija

Mrena konekcija

Stratum 0

Ovo su ureaji sa velike vremenske preciznosti kao to su atomski (cezijum, rubidijum) satovi,

GPS satovi ili radio satovi. Oni stvaraju veoma precizan puls u sekundi signala koji aktivira

prekid i vremenske oznake na povezanom raunaru. Stratum 0 se takoe nazivaju referentnim

satovima.

Stratum 1

Ovo su raunari iji su sistemski satovi sinhronizovani na u roku od nekoliko milisekundi sa

njihovim prikljuenim Stratum 0 ureajima. Stratum 1 serveri mogu da se povezuju sa drugim

Stratum 1 serverima kako bi izvravali razumne provjere i generisali rezervne kopije. Oni se

jo nazivaju primarni vremenski serveri.

Stratum 2

Ovo su raunari koji su sinhronizovani preko mree sa Stratum 1 serverima. esto Stratum 2

raunari alju upite nekim Stratum 1 serverima. Stratum 2 raunari mogu da se povezuju sa

drugim Stratum 2 raunarima kako bi obezbijedili stabilnije i jasnije vrijeme za sve ureaje u

povezanoj grupi.


16

Stratum 3

Ovo su raunari sinhronizovani sa Stratum 2 serverima. Oni koriste totalno iste algoritme za

povezivanje i uzorkovanje kao Stratum 2, i mogu predstaviti sebe kao servere za Stratum 4 i

sledee.

Jedino slojevi od 0-15 su validni; Stratum 16 se koristi da naznai da ureaj nije sinhronizovan.

NTP algoritmi na svakom raunaru konstruiu Bellman-Ford-ov algoritam najkraeg puta, kako

bi se smanjio nagomilano povratno ekanje do Stratum 1 servera za sve klijente.

2.3. Tipovi klijenata i servera

Veza izmeu klijenata i servera moe biti konfigurisana da funkcionie na vie naina. Raunari

koristei NTP mogu da funkcioniu u razliitim stanjima u zavisnosti od razliitosti maina.

Server NTP server koji opsluuje klijente vremenom. Klijenti alju zahtjev serveru i

server alje nazad odgovor sa vremenskom oznakom, zajedno sa informacijama kao to

su njegova tanost i sloj (stratum).

Klijent NTP klijent dobija vrijeme odgovora od NTP servera ili vie njih i koristi te

informacije kako bi podesio svoj sat. Ovo podrazumijeva klijentsko utvrivanje koliko

dugo je sat bio iskljuen i podeavanje vremena da se slae sa vremenom servera.

Maksimalna greka se odreuje na osnovu povratnog vremena paketa koji treba da

primi.

Peer (ravnopravni) NTP peer je lan grupe NTP servera koji su usko povezani. U

grupi od dva peer-a, u svakom trenutku, najprecizniji peer se ponaa kao server, a ostali

peer lanovi se ponaaju kao klijenti. Kao rezultat proizilazi da e peer grupe imati

usko sinhronizovano vrijeme bez upotrebe ijednog specifinog servera.

Broadcast / multicast server NTP server moe da funkcionie i ova 2 moda

broadcast i multicast. Oba rade na slian nain; ..

Broadcast serveri periodino alju najnovije informacije (engl. update) o vremenu na

broadcast adresu, dok multicast serveri periodino alju najnovije informacije o

vremenu na multicast adresu. ..

Korienje broadcast paketa se znaajno smanjuje NTP saobraaj na mrei, posebno u

mreama sa mnogo NTP klijenata.


17

Broadcast / multicast klijent NTP broadcast ili multicast klijent oslukuje za NTP

pakete na broadcast ili multicast adresi. Kada prvi paket stigne kod klijenta, on pokuava

da izmjeri kanjenje na serveru kako bi bolje izmjerio tano vrijeme od narednih

broadcast-a. Ovo se postie nizom kratkih petlji gdje se klijent i server ponaaju kao

obini (ne-broadcast) NTP klijent i server. Nakon pojave ovih petlji, klijent zna za

mrena kanjenja i nakon toga moe da procijeni vrijeme samo na osnovu broadcast

paketa. Ukoliko petlje nisu poeljne, one mogu biti onemoguene koristei opciju NTP-

a za kontrolu pristupa.

Slika 10. Tipovi klijenata i servera

Na slici 10. je grafiki prikazan svaki od gore pomenutih tipova servera i klijenata, kao i njihova

meusobna komunikacija. Strelice ispod slike jasno naznaavaju svaki tip i ukazuju na

komunikaciju koja se odvija meu njima.

2.4. Algoritam za sinhronizaciju satova

Tipini NTP klijent e redovno kontaktirati 3 ili vie servera na razliitim mreama. Kako bi

sinhronizovao svoj sat sa satom udaljenog servera, klijent mora da izrauna povratno kanjenje

i nadoknadu (engl. offset). Povratno kanjenje se izraunava:

= (t3-t0)-(t2-t1) ,


18

t0 - klijentske vremenske oznake na zahtjev paketa prenosa

t1 - serverske vremenske oznake na zahtjev paketa prijema

t2 - serverske vremenske oznake na zahtjev paketa prenosa

t3 - klijentske vremenske oznake na zahtjev paketa prijema

Dakle,

t3-t0 je vrijeme proteklo na strani klijenta izmeu emisije zahtjeva paketa i primanja

paketa odgovora.

t2-t1 je vrijeme ekanja servera prije nego poalje odgovor

Slika 10. NTP algoritam za sinhronizaciju satova, izraunavanje povratnog kanjnja

I offset izraunavamo: = (10)+(23)

2

Slika 11. NTP algoritam za sinhronizaciju satova, izraunavanje offset-a

Izraunate vrijednosti i se proputaju kroz filtere i prolaze kroz statistike analize. Viak se

odbacuje i procjena vremena offset-a se dobija od tri najbolja preostala kandidata. Frekvencija

sata se zatim prilagoava da stalno smanjuje offset, stvarajui povratnu spregu.

Sinhronizacija je ispravna kada obje dolazne i odlazne rute izmeu klijenta i servera imaju

simetrino nominalno kanjenje.


19

.

Ako rute nemaju zajedniko nominalno kanjenje, sinhronizacija ima sistematsko odstupanje

od pola razlike izmeu vremena putovanja paketa od servera do klijenta i nazad.

NTP osigurava nominalnu tanost u granicama od 10 ms za WAN (engl. Wide Area Network)

na udaljenosti 2000km, i 1 ms za LAN (engl. Local Area Network).

2.5. Kako NTP radi?

NTP funkcionie tako to klijentski raunar alje

upit sa trenutnim vremenom nekom serveru, a on

mu odgovara sa njegovim trenutnim vremenom.

(Slika 12.) Upit se ponavlja vie puta pa se

izraunava razlika meu vremenima.

Slika 12. Upiti sa trenutnim vremenom

Klijent zatim alje upite ostalim serverima koje je podeen da provjerava, i kako dobija podatke,

tako ih uporeuje s podacima dobijenim od svih ostalih servera pa na kraju sa lokalnim

vremenom. (Slika 13.)

Slika 13. Klijent Server komunikacija


20

Zatim se na osnovu tih podataka, ako su serveri zadovoljili odreene parametre, namjeta

lokalni sat na klijentskom raunaru. Operacija sinhronizacije vremena se ponavlja u redovnim

vremenskim intervalima kako bi se osiguralo da lokalno vrijeme nikad ne odstupi previe od

onoga na serverima. Kako bi se smanjila zavisnost o serverima, NTP klijent cijelo vrijeme

rauna razliku izmeu brzine lokalnog i stvarnog sata, i takoe podeava lokalni sat na osnovu

toga. Tako je osigurano da je u trenutku sinhronizacije s serverima razlika17 izmeu satova

mala.

NTP koristi razne metode kako bi pokuao izbjei probleme zbog eventualne zaguenosti

mree, nekontrolisanih ispada bilo kojeg od kontaktiranih servera. Intervali provjere su u

poetku manji (64, 128, ... sekundi) dok odstupanja u oitanom vremenu ne postanu esta,

nakon ega je provjere tee vriti tek na svakih 1024 sekunde (oko 17 minuta).

2.6. Bezbjednost NTP protokola

Pojam tanog vremena je bitan za utvrivanje redoslijeda u kome se dogaaji javljaju.Taan

vremenski izvor igra kljunu ulogu u praenju i otklanjanju problema koji se javljaju na

razliitim platformama preko mree. Dogaaji moraju biti u meusobnoj korelaciji bez obzira

na to gdje su generisani. Osim toga, pojam vremena (ili vremenskih raspona) se koristi u

mnogim oblicima kontrole pristupa , provjera identiteta , i enkripciji . U nekim sluajevima,

ove kontrole se mogu zaobii ili onesposobiti ukoliko se manipulisalo vremenskim izvorom.

Primjer. Ukoliko je vremenski izvor poremeen, platnom spisku bi se moglo pristupiti preko

vikenda, i unositi izmjene, to inae, pri normalnom vremenskom izvoru ne bi bilo mogue van

redovnog radnog vremena.

Mnoge organizacije su postale zavisne od NTP-a, a to oslanjanje moe biti slabost ukoliko

usluga nije pravilno zatiena. Stoga je vano da se ovi vremenski izvori adekvatno zatite od

irokog spektra prijetnji, sa unutranje i spoljanje strane, lokalno i daljinski. Vrijeme nije

nevaan servis. To je od sutinskog znaaja za uspjean rad dananjih okruenja .

Najznaajniji rizici za NTP usluge su falsifikovanje (engl. tamperig) i ometanje (engl.

jamming).

Falsifikovanje se javlja kada je NTP server zaraen ili sluajnim ili zlonamjernim

modifikacijama podataka. Ometanje se javlja kada je NTP server uniten ili sprijeen da prua

usluge.

17 "Driftfile" je fajl u kome klijent smjeta broj koji oznaava razliku, kako je kod ponovnog pokretanja ne bi trebao ponovo raunati (raunanje se zasniva na poreenjima tokom niza podeavanja)


21

Servis NTP je u stanju da se zatiti protiv nekih od ovih prijetnji koristei konfiguraciona

podeavanja kao to su kontrola pristupa i autentifikacija. Kontrola pristupa odreuje kojim

NTP funkcijama moe da pristupi specifian ureaj ili koje mree. Autentifikacija je

omoguena upotrebom simetrinih kljueva koji su instalirani na NTP serverima i klijentima.

Zanimljivosti o NTP-u

Poetak upotrebe sinhronizacije vremena na mrenim ureajima see od poetka 1980-ih.

Poetna odstupanja od nekoliko stotina milisekundi su danas smanjena na desetke

nanosekundi.

Prva slubena specifikacija (NTP version 0) je napisana 1985. g. i sadrana u RFC 958.

Zadnja specifikacija NTP protokola je opisana 1996.-e sa RFC 2030, a predstavlja NTP

verziju 4.

Preko 100 000 NTP servera (razliitih Stratum nivoa) djeluje na Internetu.

Postoje stotine javnih NTP servera iji se popis moe vidjeti na Internetu.

NTP servis zahtijeva 1.54% od raspoloivog CPU vremena i generie 10.5, 608-bitnih paketa

u sekundi ili 0.31% od E118 linije.

Network Time Protocol (NTP) je distribuirana aplikacija koja se najdue, bez prekida,

odrala na Internetu.

"Leap Seconds" proizlazi iz upotrebe UTC vremena. UTC vrijeme definisano je pomou

radijacije atoma cezijuma 133. Kako se brzina rotacija Zemljine kugle smanjuje, da se UTC

poetak dana ne bi pomicao s vremenom (u odnosu na Zemljinu rotaciju), ponekad se u UTC

vrijeme ubacuje sekunda (leap second) pa se na taj nain taj dan produava za jednu sekundu.

Od 1972. godine do danas to se dogodilo 22 puta.

18 E1- evropski standard za prenos glasa i podataka. Sastoji se od 32 kanala (0-31), svaki po 8bita. Brzina protoka

po kanalu je 64 kb/s, a ukupan protok za E1 standard je 2048 kb/s


22

NTP Praktina ptimjena

(Windows 7)

Za korienje ugraenog SNTP klijenta potrebno je odabrati sljedee:

Start

Control Panel

Date and Time

Internet Time

U tom prozoru treba odabrati opciju

Automatically synchronize with an Internet

time server, upisati jedan od NTP servera, i

nakon toga kliknuti na Update now.

Slika 14. Prikaz Windows prozora za

podeavanje NTP servera

(Linux / Unix)

Za Unix ili Linux maine kod kojih u standardnoj instalaciji ne postoji NTP program, moe ga se naknadno instalirati.

Primjer konfiguracije ntp programa (ntp.conf):

server ime.prvog.odabranog.servera server ime.drugog.odabranog.servera server

ime.treceg.odabranog.servera driftfile /var/lib/ntp/ntp.drift


23

PRAKTIAN ZADATAK

Konfiguracija Syslog, NTP i SSH19 operacija

Tabela 4. Tabela adresa

Potrebno je spojiti raunare, servere, rutere i svieve kao na slici, a zatim ih

konfigurisati prema podacima iz tabele. Vano je da se nazivi rutera razlikuju.

19 SSH (engl. Secure Shell) je mreni protokol koji korisnicima omoguava uspostavljanje sigurnog komunikacionog kanala izmeu dva raunara putem nesigurne raunarske mree.

Ureaj Interfejs IP adresa Subnet maska Gateway Portovi

R1 Fa0/1 192.168.1.1 255.255.255.0 - S1 Fa0/5

S0/0/0 (DCE) 10.1.1.1 255.255.255.252 - -

R2 S0/0/0 10.1.1.2 255.255.255.252 - -

S0/0/1 (DCE) 10.2.2.2 255.255.255.252 - -

R3 S0/0/1 10.2.2.1 255.255.255.252 - S2 Fa0/5

Fa0/1 192.168.3.1 255.255.255.0 - -

NTP - 192.168.1.5 255.255.255.0 192.168.1.1 S1 Fa0/6

Syslog - 192.168.1.6 255.255.255.0 192.168.1.1 S1 Fa0/18

SSH - 192.168.3.5 255.255.255.0 192.168.3.1 S2 Fa0/6


24

1. Konfiguracija NTP servera

1.1. Testirati konekciju

SSH Klijent R3 (ping 192.168.3.1)

R2 R3 (ping 10.2.2.1)

SSH Klijent R3 (telnet 192.168.3.1) . Zatvoriti konekciju

R2 R3 (telnet 10.2.2.1) . Zatvoriti konekciju

1.2.Podeavamo ruter kao NTP klijenta

R1(config)# ntp server 192.168.1.5

1.3.Podeavamo ruter da periodino usaglaava hardverski sat sa NTP-om.

R1(config)# ntp update-calendar

Provjeravamo da li je sat update-ovan koristei komandu: show clock

1.4. Podeavamo servis vremenskih oznaka (timestamps) za logovanje

R1(config)# service timestamps log datetime msec

Navedene komande se primjenjuju na sva 3 rutera.

2. Konfiguracija log poruka na Syslog serveru

2.1. Podeavamo na ruteru podatke o Syslog serveru, koji e primati log poruke

R1(config)# logging host 192.168.1.6

Na konzoli e se prikazati poruka da je logovanje poelo.

2.2. Provjeravamo log konfiguraciju koristei komandu: show logging

2.3. Provjeravamo logove na Syslog serveru.

(Syslog server / Config / SYSLOG / Service)

Napomena: Log poruka se moe generisati na serveru samim izvravanjem komandi na ruteru.

npr: Samim ulaskom u konfiguracioni mod, i izlaskom iz istog, pojavie se poruka o tome.

3. Konfiguracija SSH konekcije

Pri konfiguraciji SSH konekcije, radiemo samo sa R3 (SSH server) ruterom, i kasnije, u

testiranju sa SSH Klijentom.

3.1. Podeavamo naziv domena na R3 ruteru. (ccnasecurity.com)


25

R3(config)# ip domain-name ccnasecurity.com

3.2. Podeavamo korisnike za konekciju izmeu SSH Klijenta i R3 (SSH servera);

Kreiramo korisniko ime SSHadmin, dodjeljujemo privilegije najvieg stepena (15) i

pasvord ciscosshpa55.

R3(config)# username SSHadmin privilege 15 secret ciscosshpa55

3.3. Podeavamo dolazne VTY20 linije na R3 ruteru

Koristimo lokalno korisniko ime za login i validaciju. Prihvatamo jedino SSH

konekcije.

1. R3(config)# line vty 0 4

2. R3(config-line)# login local

3. R3(config-line)# transport input ssh

1. Ova linija oznaava da moemo imati max 5 virtuelnih konekcija istovremeno (a broj

dozvoljenih na ureaju je 16 line vty 0 15)

2. Ova linija oznaava da e se za login koristiti lokalno korisniko ime

3. Ova linija oznaava da emo da prihvatimo samo dolazne (input) ssh konekcije

3.4. Briemo postojee kljueve sa R3 rutera (SSH server)

R3(config)# crypto key zeroize rsa

Napomena: Ukoliko kljuevi ne postoje, javie se sledea poruka: % No Signature RSA

Keys found in configuration.

3.5. Generiemo kriptovani par kljueva za R3.

Ruter koristi RSA kljueve za autentifikaciju i enkripciju SSH podataka.

Konfigurisaemo duinu kljua na 1024. (Default je 512, a moe biti od 360 - 2048)

R3(config)# crypto key generate rsa

The name for the keys will be: R3.ccnasecurity.com

Choose the size of the key modulus in the range of 360 to 2048

for your

General Purpose Keys. Choosing a key modulus greater than

512 may take a few minutes.

20 VTY (engl. Virtual Teletype, Virtual Terminal Line) je dio TTY (engl. Terminal controller) , virtuelan i koristi se za kontrolu dolaznih Telnet konekcija. (remote connection)


26

How many bits in the modulus [512]: 1024

% Generating 1024 bit RSA keys, keys will be non-

exportable...[OK]

3.6. Provjeravamo SSH konfiguraciju koristei komandu: show ip ssh

Provjeravamo da li su timeout za autentifikaciju 120 i broj pokuaja 3 (default-ne

vrijednosti)

3.7. Podeavamo nove vrijednosti za SSH timeout (90) i broj pokuaja (2), i podeavamo

verziju (2)

R3(config)# ip ssh time-out 90

R3(config)# ip ssh authentication-retries 2

R3(config)# ip ssh version 2

Provjeravamo da li su napravljene izmjene u SSH konfiguraciji koristei komandu:

show ip ssh

3.8. Pokuamo da ostvarmo Telnet konekciju: SSH Klijent R3 (SSH Server)

Uemo u podeavanja raunara (SSH Klijenta), zatim Command Prompt

PC> telnet 192.168.3.1

Ova konekcija nee uspjeti jer smo na R3 ruteru podesili da prima samo SSH konekcije

3.9. Konektujemo se na R3 sa SSH Klijenta upotrebom SSH konekcije

Uemo u podeavanja raunara (SSH Klijenta), Command Prompt, koristimo korisniki

ID, a pasvord za sesiju je onaj koji smo mi postavili: ciscosshpa55

PC> ssh l SSHadmin 192.168.3.1

3.10. Konektujemo se na R3 sa R2 rutera upotrebom SSH konekcije

Koristimo korisniki ID i pasvord za sesiju je onaj koji smo mi postavili: ciscosshpa55,

i moramo postaviti verziju (2).

R2# ssh v 2l SSHadmin 10.2.2.1

3.11. Provjerite rezultate. Sada je sve podeeno


27

ZAKLJUAK

Syslog protokol upravlja logovima unutar raunarskih sistema. Poruke koje se generiu i

razmjenjuju kroz mreu imaju svoju teinu i vanost za sistem. Protokol kao to je ovaj ima

mogunost da tumai poruke i na taj nain upravlja sistemom, prati njegove slabosti i ispravlja

greke. Sa razvojem tehnologija, razvija se i protokol i njegova sloenost raste. Poruke mogu

da ponesu vie detalja i analizom istih moe bolje da se detektuje problem i

ugodi sistemu.

NTP prua odlian nain za odravanje velikog broja vorova usko sinhronizovanim. Efikasno

dizajnirana NTP infrastruktura moe postii ovo sa minimalnim optereenjem mree i takoe

moe odravati visok nivo preciznosti i bezbjednosti. Osim toga, NTP rjeenja su relativno laka

za projektovanje i implementaciju , to ih ini idealnim za sve tipove posla, od malog biznisa

pa sve do velikih preduzea sa irokom primjenom. Sinhronizacija sata koju NTP prua moe

se koristiti u razliite svrhe , ukljuujui i voenje rauna o vremenskim oznakama kako bi

razliiti mreni vorovi bili sinhronizovani , to omoguava lake rjeavanje mrenih i

bezbjednosnih problema .


28

LITERATURA

1. http://mschuette.name/files/uni/syslog-protocols-080522.pdf

2. http://en.wikipedia.org/wiki/Syslog

3. http://tools.ietf.org/html/rfc5424

4. http://www.sematech.org/docubase/document/4736aeng.pdf

5. http://www.eecis.udel.edu/~mills/database/reports/ntp4/ntp4.pdf

6. http://anselmo.homeunix.net/Sun-BluePrints/0701/NTP.pdf

7. http://www.alliedtelesis.com/media/fount/software_reference/291/at8800/ntp.pdf

8. http://www8.cs.umu.se/kurser/5DV020/HT07/ntp.pdf

9. https://www.cisco.com/en/US/docs/switches/datacenter/sw/5_x/nx-

os/system_management/configuration/guide/sm_3ntp.pdf

log i time menadžment u mrežama

Documents