log i time menadžment u mrežama
DESCRIPTION
Log, time, syslog, ntpTRANSCRIPT
-
U Podgorici, 2014.
FAKULTET ZA INFORMACIONE TEHNOLOGIJE
UNIVERZITET MEDITERAN
SEMINARSKI RAD
LOG I TIME MENADMENT U MREAMA
Student: Mentor:
Ana Vujovi 03/10 Branko Biberdi
-
Ana Vujovi LOG i TIME menadment u mreama
2
SADRAJ
UVOD ....................................................................................................................................... 3
1. SYSLOG ............................................................................................................................ 4
1.1. ta je syslog? .............................................................................................................. 4
1.2. Format Syslog poruke ................................................................................................. 4
Tabela 1. Oprema (Facility) ...................................................................................................... 5
1.3. Kako radi SYSLOG? ............................................................................................... 10
Syslog komande u Packet Traceru ...................................................................................... 13
2. NTP .................................................................................................................................. 13
2.1. ta je NTP? ............................................................................................................... 13
SNTP (Simple Network Time Protocol) ......................................................................... 14
2.2. Slojevi satova ............................................................................................................ 15
2.3. Tipovi klijenata i servera .......................................................................................... 16
2.4. Algoritam za sinhronizaciju satova .......................................................................... 17
2.5. Kako NTP radi? ........................................................................................................ 19
2.6. Bezbjednost NTP protokola ...................................................................................... 20
Zanimljivosti o NTP-u ............................................................................................................ 21
NTP Praktina ptimjena ............................................................................................... 22
PRAKTIAN ZADATAK ...................................................................................................... 23
Konfiguracija Syslog, NTP i SSH operacija ........................................................................... 23
1. Konfiguracija NTP servera ........................................................................................... 24
2. Konfiguracija log poruka na Syslog serveru ................................................................ 24
3. Konfiguracija SSH konekcije ....................................................................................... 24
ZAKLJUAK ......................................................................................................................... 27
LITERATURA ........................................................................................................................ 28
-
Ana Vujovi LOG i TIME menadment u mreama
3
UVOD
Menadment u mreama predstavlja veliki izazov za administratore zbog raznolikosti i
kompleksnosti dananjih mrenih arhitektura. Razvoj tehnika i protokola je vrlo vaan kako bi
se omoguilo uspjeno nadgledanje i upravljanje mreom. Veina arhitektura za upravljanje
mreom se bazira na istim principima. Kada govorimo o pojedinanim segmentima mree,
jedan od protokola koji nam pomae za upravljanje i praenje logova1 je SYSLOG. U sloenim
sistemima, zbog funkcionalnosti, ali i sigurnosti, vrlo esto se koristi centralizovano
evidentiranje i praenje aktivnosti. Syslog protokol predstavlja jednu od mogunosti
uspostavljanja centralizovanog ili udaljenog evidentiranja aktivnosti.
Sa druge strane, za sinhronizaciju vremena izmeu sistema i ureaja koji pripadaju mrei,
koristimo NTP (engl. Network Time Protocol). NTP protokol se brzo razvio iz obinog modela
u model s velikom pouzdanou. Potrebe za veim razvijanjem mrea vodile su do naunih
istraivanja u pravcu definisanja mjernih sposobnosti koje opisuju ponaanje mrea. Veina
mjernih metoda bazira se na mjerenju vremena. Potrebe za tanim vremenom javile su se pri
transakcijama u bazama podataka, kod kontrole leta aviona, detekcije pozicije aviona, kod
sinhronizacije za real-time telekonferencije, kod simulacija mrenog nadzora i dr. Zbog toga je
razvijen NTP kojim moemo definisati neko standardno vrijeme.
U nastavku emo objasniti oba protokola, ta su, koji je njihov zadatak, strukturu, na kom
principu rade, i dr.
1 Log zapis (o performansama, dogaajima ili aktivnostima)
-
Ana Vujovi LOG i TIME menadment u mreama
4
1. SYSLOG
1.1. ta je syslog?
Syslog je standard za generisanje log-ova na raunarima. On razdvaja softver koji generie
sistemske poruke, koje se uvaju na sistemu, od softvera koji prijavljuje i analizira poruke.
Moe se koristiti za upravljanje raunarskim sistemom i provjere bezbjednosti, kao i za analizu
i upravljanje logovima. Podran je na veini ureaja i upravo zbog toga syslog se moe koristiti
za ujedinjavanje logova vie razliitih tipova sistema u centralnu bazu.
Poruke su oznaene kodom u zavisnosti od softvera koji generie poruke, pa imamo sledee:
auth, authpriv,deamon, cron, ftp, lpr, kern, mail, news, syslog, user, uucp, local0 ... local7, a
pored toga, svakoj se dodjeljuje vanost (engl. severity), pa imamo: Emergency, Alert, Critical,
Error, Warning, Notice, Info, Debug.
Specifina konfiguracija moe usmjeriti poruke do razliitih ureaja (konzole), fajlova
(/var/log/) ili udaljenih syslog servera. Veina implementacija omoguava komandnu liniju,
koja se naziva logger, koja omoguava slanje poruka na server (syslog). Neke implementacije
omoguavaju filtriranje i prikaz syslog poruka.
1.2. Format Syslog poruke
Syslog poruka dozvoljava UTF-82 za polja podataka, nezavisna je od transportnog protokola,
ima kompletnu vremensku oznaku, omoguava ID poruke i struktuirana polja za podatke sa
namespace-ovima. Veliina poruke mora biti min. 480 okteta, trebala bi obuhvatiti max. 2048
okteta i moe primati vee poruke (ukoliko je vaa, treba odbaciti payload, a moe se i odbaciti
poruka)
Zaglavlje (HEADER) 8-bitno polje, set karaktera koji se koristi unutar njega mora biti 7-
bitni ASCII3.
o Prioritet () je 8-bitni broj naznaen uglastim zagradama, i predstavlja facility4
i severity5 poruke. Prva 3 bita predstavljaju severity poruke (a sa 3 bita moemo
2 UTF-8 UCS (Universal Character Set) Transformation Format zapisi od 1Bajta 3 ASCII - American Standard Code for Information Interchange engleski alfabet, za brojeve, zagrade i jo po neki kontrolni karakter, to je inilo ukupno 128 moguih slova (u 7 bita). 4 Facility - oprema koja oznaava odakle poruka ide, tj na koji ureaj se odnosi (mora biti u opsegu od 0-23) 5Severity - vanost poruke (mora biti u opsegu od 0-7)
-
Ana Vujovi LOG i TIME menadment u mreama
5
predstaviti 23 = 8 razliitih vanosti) , a ostalih 5 bitova predstavlja facility poruke.
Facility i Severity vrijednosti generiu aplikacije na kojima se odvijaju neki dogaaji.
o Izraunavanje vrijednosti prioriteta (PRI)
Da bismo izraunali vrijednost PRI, pomnoimo brojanu vrijednost Facility sa 8, i na
tu vrijednost dodamo brojanu vrijednost Severity. (8 x Facility + Severity)
Pr1. Poruka kernela (Facility = 0), vanosti Emergency (Severity = 0), e imati
prioritet.
Pr2. local4 poruka(Facility = 20), vanosti Notice (Severity = 5), e imati prioritet
.
U sledeim tabelama se nalazi spisak svih vrijednosti Facility i Severity
Tabela 1. Oprema (Facility)
Facility broj Kod Facility opis
0 kern Poruke kernela
1 user Poruke na nivou korisnika
2 mail Mail sistem
3 daemon6 Sistemski daemon
4 auth Poruka za autentifikaciju
5 syslog Syslog interna poruka
6 lpr Podsistem linije tampaa (line printer subsystem)
7 news Podsistem za mrene novosti (network news subsystem)
8 uucp UUCP podsistem
9 Daemon za sat
10 authpriv Poruka za autentifikaciju
11 ftp FTP daemon
12 - NTP podsistem
13 - Provjera logova
14 - Log upozorenja
15 cron Daemon za sat
16 local0 Lokalna upotreba 0 (local0)
17 local1 Lokalna upotreba 1 (local1)
18 local2 Lokalna upotreba 2 (local2)
19 local3 Lokalna upotreba 3 (local3)
20 local4 Lokalna upotreba 4 (local4)
21 local5 Lokalna upotreba 5 (local5)
22 local6 Lokalna upotreba 6 (local6)
23 local7 Lokalna upotreba 7 (local7)
6 Daemon samostartujui program
-
Ana Vujovi LOG i TIME menadment u mreama
6
Tabela 2. Vanost (Severity)
Kod Vanost Kod Opis Detaljan opis
0 Emergency emerg (panic) Sistem je
neupotrebljiv
Panic stanje obino zahvata vie aplikacija, servisa, sajtova. U ovom
sluaju, obino se obavijeste sva tehnika lica
1 Alert alert Akcija mora biti
preuzeta odmah
Potrebno je ispraviti
problem to prije i obavjetava se osoblje koje moe rijeiti problem.
2 Critical crit Kritino stanje
Potrebno je ispraviti
problem to prije, ali je problem u sekundarnom
sitemu
3 Error err (error) Greke
Nije hitno. Treba se
proslijediti
administratorima ili
developerima. Svaki
prblem mora biti rijeen u odreenom vremenskom periodu.
4 Warning warning (warn) Upozorenja
Nije greka, ali nagovjetava da e nastati greka ukoliko se nita ne preduzme.
5 Notice notice Normalno, ali bitno
stanje
Dogaaji koji su rijetki i ne predstavljaju stanje greke. Potrebno je obavijestiti
developere i admine, da
rijee potencijalne potrebe. (nije hitno)
6 Information
al info
Informativne
poruke
Normalne operativne
poruke mogu biti izvjetaji, mjerenja protoka, itd.
7 Debug Debug
Poruke za debug
(ispravljanje
greaka)
Informacija korisna
developeru pri ispravljanju
greaka
-
Ana Vujovi LOG i TIME menadment u mreama
7
o Verzija (Version) ovo polje oznaava verziju syslog protokola. Broj verzije se mora
poveati za svaku novu specifikaciju syslog protokola koja unosi promjene u bilo kom
dijelu zaglavlja. Promjene ukljuuju dodavanje ili uklanjanje polja, promjene u sintaksi
ili semantici postojeih polja i dr.
o Vremenska oznaka (Timestamp) - predstavlja datum i vrijeme kada je poruka
generisana. (Povlai sistemsko vrijeme, i ukoliko vrijeme na serveru nije dobro, poruka
koja doe imae pogrenu vremensku oznaku). Vremenske oznake moraju pratiti
sledea pravila:
1. T i Z karakteri u sintaksi vremenskih oznaka moraju biti velikim slovom
2. T je obavetno u sintaksi vremenskih oznaka
Pr1. 1985-04-12T23:20:50.52Z -(12.april.1985 u 23h, 20 min, 50.52s -UTC7)
Pr2. 2003-10-11T22:14:15.003Z (11.oktobar.2003, 22:14:15, 3 ms - UTC)
o Naziv hosta (Hostname) sadri podatke o tanom ureaju sa kog je poslata syslog
poruka. Ovo polje treba da sadri naziv hosta i naziv domen inicijatora poruke. Redosled
podataka u polju hostname treba da bude sledei:
Naziv domena
Statina IP adresa
Naziv hosta
Dinamika IP adresa
Null vrijednost (nilvalue)8
o Naziv aplikacije (app-name) sadri podatke o ureaju ili aplikaciji koja je inicirala
poruku. To je string bez znaenja. Namjenjen je za filtriranje poruka na releju ili
kolektoru. Ovo polje moe popuniti operater.
NILVALUE e se upotrijebiti ukoliko syslog aplikacija ne zna koja je
aplikacija u pitanju ili ukoliko ne moe da doe do te informacije. Razlozi
zbog kojih ureaj ne moe doi do tih informacija su: lokalne polise ili zbog
toga to informacije nisu dostupne ili se ne primjenjuju na tom ureaju.
7 UTC- engl. Coordinated Universal Time ili GMT engl. Greenwich Mean Time 8 Nilvalue treba se koristiti samo onda kada syslog aplikacija nema naina da dobije pravi naziv hosta
-
Ana Vujovi LOG i TIME menadment u mreama
8
o ID procesa (proc-id) je vrijednost koja je ukljuena u poruku, ne posjeduje specifinu
sintaksu ili semantiku i esto se koristi da obezbijedi naziv procesa ili ID procesa
povezanog sa syslog sistemom.
NILVALUE se moe koristiti kada ID procesa nije dostupan. Na ugraenim sistemima,
bez operativnog sistema, ID procesa moe biti reboot ID.
NILVALUE se moe koristiti ukoliko nijedna vrijednost nije obezbijeena.
Ovo polje zavisi od implemantacije i moe ga popuniti operater.
PROC-ID se takoe moe koristiti da bi se utvrdilo koje poruke pripadaju kojoj grupi
poruka.
Npr. SMTP mail transportni agent moe ubaciti SMTP ID transakcije u PROC-ID, to
e omoguiti releju ili kolektoru da grupiu poruke bazirane na SMTP transakciji.
o ID poruke (msg-id) treba da definie tip poruke, to je string bez dodatnog znaenja,
koristi se za filtriranje poruka na releju i kolektoru.
Poruke sa istim ID-em, odrazie se izvravanjem istih radnji.
NILVALUE se treba koristiti kada salo aplikacija nije ili ne moe da obezbijedi ni
jednu vrijednost. Ovo polje moe popuniti operater.
Npr. Fajervol bi mogao da koristi MSG-ID: TCPIN za dolazei TCP saobraaj i MSG-
ID: TCPOUT za odlazei TCP saobraaj.
.
o Struktuirani podaci (structured-data) - obezbjeuju mehanizam za izraavanje
informacija u dobro definisanom i shvatljivom formatu. Set karaktera koji se koriste za
uvanje podataka u ovom polju su 7-bitni ASCII. Struktuirani podaci mogu da sadre
nula, jedan ili vie elemenata struktuiranih podataka.
U sluaju da structured-data nema elemenata, tada je potrebno da postoji NILVALUE.
Kolektori mogu da ignoriu loe formatirane strdata, dok releji moraju da ih proslijede.
o Tekst poruke (msg) sadri slobodnu formu poruke koja prua informacije o dogaaju.
Set karaktera unutar poruke moe biti Unicode, kodiran UTF-8. Syslog aplikacija ne
moe ifrovati poruku Unicode-om, ve moe koristiti neki drugi koder.
Syslog aplikacija bi trebala izbjegavati oktete ispod 32 (ASCII kontrolni karakteri). Ove
vrijednosti su upotrbljive, ali syslog aplikacija ih moe modifikovati prilikom prijema.
Npr. Vrijednost 0 moe biti promijenjena u /0.
-
Ana Vujovi LOG i TIME menadment u mreama
9
Syslog aplikacija ne bi trebala da modifikuje bilo koju drugu vrijednost okteta.
Ukoliko syslog aplikacija kodira poruku sa UTF-8, string mora poeti sa Unicode bajtom
maske BOM. Aplikacija mora da kodira najkraom formom i da koristi bilo koju validnu
UTF-8 sekvencu.
Primjer syslog poruke:
1 2003-10-11T22:14:15.003Z mymachine.example.com su - ID47
- BOMsu root failed for lonvick on /dev/pts/8
Da protumaimo poruku:
Prioritet je: 34 (8 x4 + 2 ; facility = 4, severity = 2)
Verzija:1
Vremenska oznaka: 11.oktobra.2003 u 22:14:15, 3 ms UTC je generisana poruka
Naziv hosta: DNS - mymachine.example.com
Naziv aplikacije: su
ID procesa: -
ID poruke: ID47
Struktuirani podaci: - (nema)
Poruka: su root failed for lonvick on /dev/pts/8 , kodirana UTF-8, to nam pokazuje
BOM bajt
Da protumaimo poruku:
1 2003-10-11T22:14:15.003Z mymachine.example.com evntslog - ID47
[exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"]
BOMAn application event log entry...
Prioritet je: 165 (8 x20 + 5 ; facility = 20, severity = 5)
Verzija:1
Vremenska oznaka: 11.oktobra.2003 u 22:14:15, 3 ms UTC je generisana poruka
Naziv hosta: DNS - mymachine.example.com
Naziv aplikacije: evntslog
ID procesa: -
ID poruke: ID47
Struktuirani podaci: [exampleSDID@32473 iut="3" eventSource="Application"
eventID="1011"]
Poruka: An application event log entry... , kodirana UTF-8, to nam pokazuje BOM bajt
-
Ana Vujovi LOG i TIME menadment u mreama
10
1.3. Kako radi SYSLOG?
Syslog je klijent/server simplex9 protokol. Log aplikacija prenosi poruku do syslog prijemnika.
Taj prijemnik se naziva syslogd10 ili syslog server. Ove poruke se mogu i zatititi upotrebom
enkripcija, SSL/TLS protokola. Port koji koristi syslog je 514.
Syslog koristi tri sloja:
syslog sadraj (syslog content) upravljaka informacija koja se nalazi u syslog
poruci
syslog aplikacioni sloj (syslog application) - upravlja generisanjem, interpretacijom,
rutiranjem i skladitenjem syslog poruka.
syslog transportni sloj (syslog transport) alje podatke na komunikacioni kanal, i
preuzima ih sa komunikacionog kanala.
Svaki od slojeva sadri odreeni broj funkcija koje se izvravaju, pa imamo:
Inicijator (originator) generie syslog sadraj koji e se prenositi u poruci
Relej (relay) - prosleuje, prihvata poruke od inicijatora ili drugih releja i alje ih
kolekcionarima ili drugim relejima.
Kolektor (collector) prikuplja syslog sadraj za dalju analizu
Analizator(analizer) analizira prikupljene poruke
Transportni poiljalac (transport sender) prosleuje syslog poruku na specifian
transportni protokol
Transportni primalac (transport receiver) preuzima syslog poruke od specifinog
transportnog protokola.
Sadraj Sadraj
Syslog aplikacioni sloj Syslog aplikacioni sloj Inicijator, relej,kolekcionar,
analizator
Syslog transportni sloj Syslog transportni sloj Transportni primalac,
Transportni poiljalac
Slika 1. Prikaz syslog slojeva
9 Simplex prenos u jednom smjeru 10 Syslogd prikuplja poruke iz kernela, aplikacija i sa mree, koje filtrira po prioritetu. Upisuje poruke u fajlove, programe, terminale, i mree
Komunikacioni kanal
-
Ana Vujovi LOG i TIME menadment u mreama
11
Proces kretanja poruka:
Ureaj/Inicijator generie poruku,
Transportni poiljalac alje na komunikacioni
kanal,
Relej prenosi,
Transportni primalac preuzima sa
komunikacionog kanala,
Kolektor sakuplja pristigle poruke, i alje:
o Skladite koristi se za uvanje poruka
o Analizator koristi se za analizu ili saimanje
podataka
Slika 2. Kretanje syslog poruka
Na slici 2. je prikazan osnovni sluaj kretanja poruka, od odredita do krajnje take, ali to nije
i jedini sluaj. Inicijator i relej mogu biti konfigurisani da alju iste poruke na vie kolektora i
releja. Na sledeim slikama emo vidjeti prikaz jo nekih sluajeva kretanja poruka.
Inicijator Kolektor
Slika 3. Inicijator Kolektor
Inicijator KolektorRelej
Slika 4. Inicijator - Relej - Kolektor
Inicijator KolektorRelej Relej
Slika 5. Inicijator - Relej -Relej- Kolektor
Transport sender
Transport receiver
-
Ana Vujovi LOG i TIME menadment u mreama
12
Inicijator
KolektorRelej
Relej Kolektor
Slika 6. Inicijator - Relej - Kolektor
- Relej- Kolektor
Inicijator
Kolektor
KolektorRelej
Slika 7. Inicijator - Kolektor
- Relej- Kolektor
Inicijator
KolektorRelej
Kolektor
Relej
Inicijator
Slika 8. Inicijator Relej- Kolektor
- Relej- Kolektor
Inicijator-Kolektor
-
Ana Vujovi LOG i TIME menadment u mreama
13
Syslog komande u Packet Traceru
1. A.B.C.D IP adresa hosta na koji elimo da se logujemo
2. buffered podeavanje veliine bafera za logovanje (4096-2147483647)
3. console podeavanje loging parametara za konzolu
4. host podeavanje IP adrese servera
5. on omoguavanje logovanja na svim dostupnim destinacijama
6. trap podeavanje nivoa syslog servera
7. userinfo omoguavanje pregleda korisnikih informacija iz privilegovanog moda
2. NTP
2.1. ta je NTP?
NTP (engl. Network Time Protocol) je protokol koji je namijenjen sinhronizaciji sistemskih
satova raunara preko mree. Protokol je opisan kao klijent-server model, ali se lako moe
koristiti kao peer-to-peer (jednaki sa jednakim) veza, gdje oba vora obezbjeuju izvor vremena
(server server komunikacija). Implementacija alje i prima vremenske oznake 11koristei
UDP (engl. User Datagram Protocol) protokol, preko porta 123. Takoe, moe koristiti
broadcast12 i multicast13, gdje klijenti oslukuju promjene vremena nakon inicijalne povratne
razmjene podeavanja. NTP obezbjeuje upozorenja u sluaju podeavanja skoka sekunde14,
ali ne prenosi informacije o lokalnim vremenskim zonama ili ljetnjem raunanju vremena. Za
komunikaciju izmeu servera i klijenta koristi se i jednostavniji protokol SNTP (engl. Simple
NTP).
11 NTP koristi 128-bitne vremenske oznake koje se sastoje iz 2 dijela: 64-bitni dio za sekude i 64-bitni dio za
djelove sekunde, dajui tako vremensku skalu koja se kree izmeu 264 sekunde i 2-64 sekunde. 12 Broadcast jedan paket se alje svim vorovima u mrei 13 Multicast jedan paket se alje na specifian podskup vorova na mrei 14 "Leap Seconds"
1
2
3
4
5
6
7
-
Ana Vujovi LOG i TIME menadment u mreama
14
Sistemski sat moe biti podeen preko:
o NTP-a
o SNTP -a15
o Virtuelnog mrenog vremenskog servisa (VINES16)
o Runo
SNTP (Simple Network Time Protocol)
Neki ureaji podravaju SNTP. To je pojednostavljena korisnika verzija NTP-a. SNTP moe
samo primati vrijeme sa NTP servera, a ne moe se koristiti za prosleivanje vremena drugim
sistemima. SNTP osigurava tanost vremena u granicama do 100 milisekundi, ali zbog manje
tanosti od NTP-a ne smije se koristiti u sistemima gdje se zahtjeva pretjerana tanost.
Sistemski sat odrava vrijeme preko UTC-a, odnosno GMT. Informacije o lokalnom vremenu
dobijaju se relativnim pomakom na UTC za pojedine vremenske zone. Sistemski sat odrava
vrijeme bilo ono tano ili ne, ukoliko ono nije tano nee biti proslijeeno dalje.
Tabela 3. Verzije NTP protokola - Trenutne verzije NTP-a
RFC dokumenat Naziv
RFC 958 Network Time Protocol (NTP)
RFC 1059 Network Time Protocol (v1)
Specifikacija i Implementacija
RFC 1119 Network Time Protocol (v2)
Specifikacija i Implementacija
RFC 1305 Network Time Protocol (v3)
Specifikacija, Implementacija, Analize
RFC 1361 Simple Network Time Protocol (SNTP)
RFC 1769 Simple Network Time Protocol (SNTP)
RFC 2030 Simple Network Time Protocol (SNTP) v4,
IPv4, IPv6 i OSI
RFC 4330 Simple Network Time Protocol (SNTP) v4,
IPv4, IPv6 i OSI
RFC 5905 * Network Time Protocol (v4),
Protokol i Algoritamska specifikacija
RFC 5906 * Network Time Protocol (v4),
Autokey specifikacija
RFC 5907 * Definicije za upravljake objekte za Network Time
Protocol (v4)
RFC 5908 * Network Time Protocol (NTP) Serverska opcija za
DHCPv6
15 SNTP - engl. Simple Network Time Protocol 16 VINES engl. VIrtual NEtwork Service
-
Ana Vujovi LOG i TIME menadment u mreama
15
2.2. Slojevi satova
NTP koristi hijerarhijski, polu-slojeviti
sistem vremenskih izvora. Svaki nivo ove
hijerarhije je nazvan stratum i
dodijeljen mu je broj, poevi sa 0 od
vrha. Broj predstavlja rastojanje od
referentnog sata i koristi se da sprijei
cikline zavisnosti u hijerarhiji. Stratum
(sloj) nije uvijek kvalitetan i pouzdan;
moe se desiti da su vremenski izvori
3.sratuma veeg kvaliteta od onih
2.stratuma. Slika 9. Hijerarhijska struktura NTP-a
Direktna konekcija
Mrena konekcija
Stratum 0
Ovo su ureaji sa velike vremenske preciznosti kao to su atomski (cezijum, rubidijum) satovi,
GPS satovi ili radio satovi. Oni stvaraju veoma precizan puls u sekundi signala koji aktivira
prekid i vremenske oznake na povezanom raunaru. Stratum 0 se takoe nazivaju referentnim
satovima.
Stratum 1
Ovo su raunari iji su sistemski satovi sinhronizovani na u roku od nekoliko milisekundi sa
njihovim prikljuenim Stratum 0 ureajima. Stratum 1 serveri mogu da se povezuju sa drugim
Stratum 1 serverima kako bi izvravali razumne provjere i generisali rezervne kopije. Oni se
jo nazivaju primarni vremenski serveri.
Stratum 2
Ovo su raunari koji su sinhronizovani preko mree sa Stratum 1 serverima. esto Stratum 2
raunari alju upite nekim Stratum 1 serverima. Stratum 2 raunari mogu da se povezuju sa
drugim Stratum 2 raunarima kako bi obezbijedili stabilnije i jasnije vrijeme za sve ureaje u
povezanoj grupi.
-
Ana Vujovi LOG i TIME menadment u mreama
16
Stratum 3
Ovo su raunari sinhronizovani sa Stratum 2 serverima. Oni koriste totalno iste algoritme za
povezivanje i uzorkovanje kao Stratum 2, i mogu predstaviti sebe kao servere za Stratum 4 i
sledee.
Jedino slojevi od 0-15 su validni; Stratum 16 se koristi da naznai da ureaj nije sinhronizovan.
NTP algoritmi na svakom raunaru konstruiu Bellman-Ford-ov algoritam najkraeg puta, kako
bi se smanjio nagomilano povratno ekanje do Stratum 1 servera za sve klijente.
2.3. Tipovi klijenata i servera
Veza izmeu klijenata i servera moe biti konfigurisana da funkcionie na vie naina. Raunari
koristei NTP mogu da funkcioniu u razliitim stanjima u zavisnosti od razliitosti maina.
Server NTP server koji opsluuje klijente vremenom. Klijenti alju zahtjev serveru i
server alje nazad odgovor sa vremenskom oznakom, zajedno sa informacijama kao to
su njegova tanost i sloj (stratum).
Klijent NTP klijent dobija vrijeme odgovora od NTP servera ili vie njih i koristi te
informacije kako bi podesio svoj sat. Ovo podrazumijeva klijentsko utvrivanje koliko
dugo je sat bio iskljuen i podeavanje vremena da se slae sa vremenom servera.
Maksimalna greka se odreuje na osnovu povratnog vremena paketa koji treba da
primi.
Peer (ravnopravni) NTP peer je lan grupe NTP servera koji su usko povezani. U
grupi od dva peer-a, u svakom trenutku, najprecizniji peer se ponaa kao server, a ostali
peer lanovi se ponaaju kao klijenti. Kao rezultat proizilazi da e peer grupe imati
usko sinhronizovano vrijeme bez upotrebe ijednog specifinog servera.
Broadcast / multicast server NTP server moe da funkcionie i ova 2 moda
broadcast i multicast. Oba rade na slian nain; ..
Broadcast serveri periodino alju najnovije informacije (engl. update) o vremenu na
broadcast adresu, dok multicast serveri periodino alju najnovije informacije o
vremenu na multicast adresu. ..
Korienje broadcast paketa se znaajno smanjuje NTP saobraaj na mrei, posebno u
mreama sa mnogo NTP klijenata.
-
Ana Vujovi LOG i TIME menadment u mreama
17
Broadcast / multicast klijent NTP broadcast ili multicast klijent oslukuje za NTP
pakete na broadcast ili multicast adresi. Kada prvi paket stigne kod klijenta, on pokuava
da izmjeri kanjenje na serveru kako bi bolje izmjerio tano vrijeme od narednih
broadcast-a. Ovo se postie nizom kratkih petlji gdje se klijent i server ponaaju kao
obini (ne-broadcast) NTP klijent i server. Nakon pojave ovih petlji, klijent zna za
mrena kanjenja i nakon toga moe da procijeni vrijeme samo na osnovu broadcast
paketa. Ukoliko petlje nisu poeljne, one mogu biti onemoguene koristei opciju NTP-
a za kontrolu pristupa.
Slika 10. Tipovi klijenata i servera
Na slici 10. je grafiki prikazan svaki od gore pomenutih tipova servera i klijenata, kao i njihova
meusobna komunikacija. Strelice ispod slike jasno naznaavaju svaki tip i ukazuju na
komunikaciju koja se odvija meu njima.
2.4. Algoritam za sinhronizaciju satova
Tipini NTP klijent e redovno kontaktirati 3 ili vie servera na razliitim mreama. Kako bi
sinhronizovao svoj sat sa satom udaljenog servera, klijent mora da izrauna povratno kanjenje
i nadoknadu (engl. offset). Povratno kanjenje se izraunava:
= (t3-t0)-(t2-t1) ,
-
Ana Vujovi LOG i TIME menadment u mreama
18
t0 - klijentske vremenske oznake na zahtjev paketa prenosa
t1 - serverske vremenske oznake na zahtjev paketa prijema
t2 - serverske vremenske oznake na zahtjev paketa prenosa
t3 - klijentske vremenske oznake na zahtjev paketa prijema
Dakle,
t3-t0 je vrijeme proteklo na strani klijenta izmeu emisije zahtjeva paketa i primanja
paketa odgovora.
t2-t1 je vrijeme ekanja servera prije nego poalje odgovor
Slika 10. NTP algoritam za sinhronizaciju satova, izraunavanje povratnog kanjnja
I offset izraunavamo: = (10)+(23)
2
Slika 11. NTP algoritam za sinhronizaciju satova, izraunavanje offset-a
Izraunate vrijednosti i se proputaju kroz filtere i prolaze kroz statistike analize. Viak se
odbacuje i procjena vremena offset-a se dobija od tri najbolja preostala kandidata. Frekvencija
sata se zatim prilagoava da stalno smanjuje offset, stvarajui povratnu spregu.
Sinhronizacija je ispravna kada obje dolazne i odlazne rute izmeu klijenta i servera imaju
simetrino nominalno kanjenje.
-
Ana Vujovi LOG i TIME menadment u mreama
19
.
Ako rute nemaju zajedniko nominalno kanjenje, sinhronizacija ima sistematsko odstupanje
od pola razlike izmeu vremena putovanja paketa od servera do klijenta i nazad.
NTP osigurava nominalnu tanost u granicama od 10 ms za WAN (engl. Wide Area Network)
na udaljenosti 2000km, i 1 ms za LAN (engl. Local Area Network).
2.5. Kako NTP radi?
NTP funkcionie tako to klijentski raunar alje
upit sa trenutnim vremenom nekom serveru, a on
mu odgovara sa njegovim trenutnim vremenom.
(Slika 12.) Upit se ponavlja vie puta pa se
izraunava razlika meu vremenima.
Slika 12. Upiti sa trenutnim vremenom
Klijent zatim alje upite ostalim serverima koje je podeen da provjerava, i kako dobija podatke,
tako ih uporeuje s podacima dobijenim od svih ostalih servera pa na kraju sa lokalnim
vremenom. (Slika 13.)
Slika 13. Klijent Server komunikacija
-
Ana Vujovi LOG i TIME menadment u mreama
20
Zatim se na osnovu tih podataka, ako su serveri zadovoljili odreene parametre, namjeta
lokalni sat na klijentskom raunaru. Operacija sinhronizacije vremena se ponavlja u redovnim
vremenskim intervalima kako bi se osiguralo da lokalno vrijeme nikad ne odstupi previe od
onoga na serverima. Kako bi se smanjila zavisnost o serverima, NTP klijent cijelo vrijeme
rauna razliku izmeu brzine lokalnog i stvarnog sata, i takoe podeava lokalni sat na osnovu
toga. Tako je osigurano da je u trenutku sinhronizacije s serverima razlika17 izmeu satova
mala.
NTP koristi razne metode kako bi pokuao izbjei probleme zbog eventualne zaguenosti
mree, nekontrolisanih ispada bilo kojeg od kontaktiranih servera. Intervali provjere su u
poetku manji (64, 128, ... sekundi) dok odstupanja u oitanom vremenu ne postanu esta,
nakon ega je provjere tee vriti tek na svakih 1024 sekunde (oko 17 minuta).
2.6. Bezbjednost NTP protokola
Pojam tanog vremena je bitan za utvrivanje redoslijeda u kome se dogaaji javljaju.Taan
vremenski izvor igra kljunu ulogu u praenju i otklanjanju problema koji se javljaju na
razliitim platformama preko mree. Dogaaji moraju biti u meusobnoj korelaciji bez obzira
na to gdje su generisani. Osim toga, pojam vremena (ili vremenskih raspona) se koristi u
mnogim oblicima kontrole pristupa , provjera identiteta , i enkripciji . U nekim sluajevima,
ove kontrole se mogu zaobii ili onesposobiti ukoliko se manipulisalo vremenskim izvorom.
Primjer. Ukoliko je vremenski izvor poremeen, platnom spisku bi se moglo pristupiti preko
vikenda, i unositi izmjene, to inae, pri normalnom vremenskom izvoru ne bi bilo mogue van
redovnog radnog vremena.
Mnoge organizacije su postale zavisne od NTP-a, a to oslanjanje moe biti slabost ukoliko
usluga nije pravilno zatiena. Stoga je vano da se ovi vremenski izvori adekvatno zatite od
irokog spektra prijetnji, sa unutranje i spoljanje strane, lokalno i daljinski. Vrijeme nije
nevaan servis. To je od sutinskog znaaja za uspjean rad dananjih okruenja .
Najznaajniji rizici za NTP usluge su falsifikovanje (engl. tamperig) i ometanje (engl.
jamming).
Falsifikovanje se javlja kada je NTP server zaraen ili sluajnim ili zlonamjernim
modifikacijama podataka. Ometanje se javlja kada je NTP server uniten ili sprijeen da prua
usluge.
17 "Driftfile" je fajl u kome klijent smjeta broj koji oznaava razliku, kako je kod ponovnog pokretanja ne bi trebao ponovo raunati (raunanje se zasniva na poreenjima tokom niza podeavanja)
-
Ana Vujovi LOG i TIME menadment u mreama
21
Servis NTP je u stanju da se zatiti protiv nekih od ovih prijetnji koristei konfiguraciona
podeavanja kao to su kontrola pristupa i autentifikacija. Kontrola pristupa odreuje kojim
NTP funkcijama moe da pristupi specifian ureaj ili koje mree. Autentifikacija je
omoguena upotrebom simetrinih kljueva koji su instalirani na NTP serverima i klijentima.
Zanimljivosti o NTP-u
Poetak upotrebe sinhronizacije vremena na mrenim ureajima see od poetka 1980-ih.
Poetna odstupanja od nekoliko stotina milisekundi su danas smanjena na desetke
nanosekundi.
Prva slubena specifikacija (NTP version 0) je napisana 1985. g. i sadrana u RFC 958.
Zadnja specifikacija NTP protokola je opisana 1996.-e sa RFC 2030, a predstavlja NTP
verziju 4.
Preko 100 000 NTP servera (razliitih Stratum nivoa) djeluje na Internetu.
Postoje stotine javnih NTP servera iji se popis moe vidjeti na Internetu.
NTP servis zahtijeva 1.54% od raspoloivog CPU vremena i generie 10.5, 608-bitnih paketa
u sekundi ili 0.31% od E118 linije.
Network Time Protocol (NTP) je distribuirana aplikacija koja se najdue, bez prekida,
odrala na Internetu.
"Leap Seconds" proizlazi iz upotrebe UTC vremena. UTC vrijeme definisano je pomou
radijacije atoma cezijuma 133. Kako se brzina rotacija Zemljine kugle smanjuje, da se UTC
poetak dana ne bi pomicao s vremenom (u odnosu na Zemljinu rotaciju), ponekad se u UTC
vrijeme ubacuje sekunda (leap second) pa se na taj nain taj dan produava za jednu sekundu.
Od 1972. godine do danas to se dogodilo 22 puta.
18 E1- evropski standard za prenos glasa i podataka. Sastoji se od 32 kanala (0-31), svaki po 8bita. Brzina protoka
po kanalu je 64 kb/s, a ukupan protok za E1 standard je 2048 kb/s
-
Ana Vujovi LOG i TIME menadment u mreama
22
NTP Praktina ptimjena
(Windows 7)
Za korienje ugraenog SNTP klijenta potrebno je odabrati sljedee:
Start
Control Panel
Date and Time
Internet Time
U tom prozoru treba odabrati opciju
Automatically synchronize with an Internet
time server, upisati jedan od NTP servera, i
nakon toga kliknuti na Update now.
Slika 14. Prikaz Windows prozora za
podeavanje NTP servera
(Linux / Unix)
Za Unix ili Linux maine kod kojih u standardnoj instalaciji ne postoji NTP program, moe ga se naknadno instalirati.
Primjer konfiguracije ntp programa (ntp.conf):
server ime.prvog.odabranog.servera server ime.drugog.odabranog.servera server
ime.treceg.odabranog.servera driftfile /var/lib/ntp/ntp.drift
-
Ana Vujovi LOG i TIME menadment u mreama
23
PRAKTIAN ZADATAK
Konfiguracija Syslog, NTP i SSH19 operacija
Tabela 4. Tabela adresa
Potrebno je spojiti raunare, servere, rutere i svieve kao na slici, a zatim ih
konfigurisati prema podacima iz tabele. Vano je da se nazivi rutera razlikuju.
19 SSH (engl. Secure Shell) je mreni protokol koji korisnicima omoguava uspostavljanje sigurnog komunikacionog kanala izmeu dva raunara putem nesigurne raunarske mree.
Ureaj Interfejs IP adresa Subnet maska Gateway Portovi
R1 Fa0/1 192.168.1.1 255.255.255.0 - S1 Fa0/5
S0/0/0 (DCE) 10.1.1.1 255.255.255.252 - -
R2 S0/0/0 10.1.1.2 255.255.255.252 - -
S0/0/1 (DCE) 10.2.2.2 255.255.255.252 - -
R3 S0/0/1 10.2.2.1 255.255.255.252 - S2 Fa0/5
Fa0/1 192.168.3.1 255.255.255.0 - -
NTP - 192.168.1.5 255.255.255.0 192.168.1.1 S1 Fa0/6
Syslog - 192.168.1.6 255.255.255.0 192.168.1.1 S1 Fa0/18
SSH - 192.168.3.5 255.255.255.0 192.168.3.1 S2 Fa0/6
-
Ana Vujovi LOG i TIME menadment u mreama
24
1. Konfiguracija NTP servera
1.1. Testirati konekciju
SSH Klijent R3 (ping 192.168.3.1)
R2 R3 (ping 10.2.2.1)
SSH Klijent R3 (telnet 192.168.3.1) . Zatvoriti konekciju
R2 R3 (telnet 10.2.2.1) . Zatvoriti konekciju
1.2.Podeavamo ruter kao NTP klijenta
R1(config)# ntp server 192.168.1.5
1.3.Podeavamo ruter da periodino usaglaava hardverski sat sa NTP-om.
R1(config)# ntp update-calendar
Provjeravamo da li je sat update-ovan koristei komandu: show clock
1.4. Podeavamo servis vremenskih oznaka (timestamps) za logovanje
R1(config)# service timestamps log datetime msec
Navedene komande se primjenjuju na sva 3 rutera.
2. Konfiguracija log poruka na Syslog serveru
2.1. Podeavamo na ruteru podatke o Syslog serveru, koji e primati log poruke
R1(config)# logging host 192.168.1.6
Na konzoli e se prikazati poruka da je logovanje poelo.
2.2. Provjeravamo log konfiguraciju koristei komandu: show logging
2.3. Provjeravamo logove na Syslog serveru.
(Syslog server / Config / SYSLOG / Service)
Napomena: Log poruka se moe generisati na serveru samim izvravanjem komandi na ruteru.
npr: Samim ulaskom u konfiguracioni mod, i izlaskom iz istog, pojavie se poruka o tome.
3. Konfiguracija SSH konekcije
Pri konfiguraciji SSH konekcije, radiemo samo sa R3 (SSH server) ruterom, i kasnije, u
testiranju sa SSH Klijentom.
3.1. Podeavamo naziv domena na R3 ruteru. (ccnasecurity.com)
-
Ana Vujovi LOG i TIME menadment u mreama
25
R3(config)# ip domain-name ccnasecurity.com
3.2. Podeavamo korisnike za konekciju izmeu SSH Klijenta i R3 (SSH servera);
Kreiramo korisniko ime SSHadmin, dodjeljujemo privilegije najvieg stepena (15) i
pasvord ciscosshpa55.
R3(config)# username SSHadmin privilege 15 secret ciscosshpa55
3.3. Podeavamo dolazne VTY20 linije na R3 ruteru
Koristimo lokalno korisniko ime za login i validaciju. Prihvatamo jedino SSH
konekcije.
1. R3(config)# line vty 0 4
2. R3(config-line)# login local
3. R3(config-line)# transport input ssh
1. Ova linija oznaava da moemo imati max 5 virtuelnih konekcija istovremeno (a broj
dozvoljenih na ureaju je 16 line vty 0 15)
2. Ova linija oznaava da e se za login koristiti lokalno korisniko ime
3. Ova linija oznaava da emo da prihvatimo samo dolazne (input) ssh konekcije
3.4. Briemo postojee kljueve sa R3 rutera (SSH server)
R3(config)# crypto key zeroize rsa
Napomena: Ukoliko kljuevi ne postoje, javie se sledea poruka: % No Signature RSA
Keys found in configuration.
3.5. Generiemo kriptovani par kljueva za R3.
Ruter koristi RSA kljueve za autentifikaciju i enkripciju SSH podataka.
Konfigurisaemo duinu kljua na 1024. (Default je 512, a moe biti od 360 - 2048)
R3(config)# crypto key generate rsa
The name for the keys will be: R3.ccnasecurity.com
Choose the size of the key modulus in the range of 360 to 2048
for your
General Purpose Keys. Choosing a key modulus greater than
512 may take a few minutes.
20 VTY (engl. Virtual Teletype, Virtual Terminal Line) je dio TTY (engl. Terminal controller) , virtuelan i koristi se za kontrolu dolaznih Telnet konekcija. (remote connection)
-
Ana Vujovi LOG i TIME menadment u mreama
26
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-
exportable...[OK]
3.6. Provjeravamo SSH konfiguraciju koristei komandu: show ip ssh
Provjeravamo da li su timeout za autentifikaciju 120 i broj pokuaja 3 (default-ne
vrijednosti)
3.7. Podeavamo nove vrijednosti za SSH timeout (90) i broj pokuaja (2), i podeavamo
verziju (2)
R3(config)# ip ssh time-out 90
R3(config)# ip ssh authentication-retries 2
R3(config)# ip ssh version 2
Provjeravamo da li su napravljene izmjene u SSH konfiguraciji koristei komandu:
show ip ssh
3.8. Pokuamo da ostvarmo Telnet konekciju: SSH Klijent R3 (SSH Server)
Uemo u podeavanja raunara (SSH Klijenta), zatim Command Prompt
PC> telnet 192.168.3.1
Ova konekcija nee uspjeti jer smo na R3 ruteru podesili da prima samo SSH konekcije
3.9. Konektujemo se na R3 sa SSH Klijenta upotrebom SSH konekcije
Uemo u podeavanja raunara (SSH Klijenta), Command Prompt, koristimo korisniki
ID, a pasvord za sesiju je onaj koji smo mi postavili: ciscosshpa55
PC> ssh l SSHadmin 192.168.3.1
3.10. Konektujemo se na R3 sa R2 rutera upotrebom SSH konekcije
Koristimo korisniki ID i pasvord za sesiju je onaj koji smo mi postavili: ciscosshpa55,
i moramo postaviti verziju (2).
R2# ssh v 2l SSHadmin 10.2.2.1
3.11. Provjerite rezultate. Sada je sve podeeno
-
Ana Vujovi LOG i TIME menadment u mreama
27
ZAKLJUAK
Syslog protokol upravlja logovima unutar raunarskih sistema. Poruke koje se generiu i
razmjenjuju kroz mreu imaju svoju teinu i vanost za sistem. Protokol kao to je ovaj ima
mogunost da tumai poruke i na taj nain upravlja sistemom, prati njegove slabosti i ispravlja
greke. Sa razvojem tehnologija, razvija se i protokol i njegova sloenost raste. Poruke mogu
da ponesu vie detalja i analizom istih moe bolje da se detektuje problem i
ugodi sistemu.
NTP prua odlian nain za odravanje velikog broja vorova usko sinhronizovanim. Efikasno
dizajnirana NTP infrastruktura moe postii ovo sa minimalnim optereenjem mree i takoe
moe odravati visok nivo preciznosti i bezbjednosti. Osim toga, NTP rjeenja su relativno laka
za projektovanje i implementaciju , to ih ini idealnim za sve tipove posla, od malog biznisa
pa sve do velikih preduzea sa irokom primjenom. Sinhronizacija sata koju NTP prua moe
se koristiti u razliite svrhe , ukljuujui i voenje rauna o vremenskim oznakama kako bi
razliiti mreni vorovi bili sinhronizovani , to omoguava lake rjeavanje mrenih i
bezbjednosnih problema .
-
Ana Vujovi LOG i TIME menadment u mreama
28
LITERATURA
1. http://mschuette.name/files/uni/syslog-protocols-080522.pdf
2. http://en.wikipedia.org/wiki/Syslog
3. http://tools.ietf.org/html/rfc5424
4. http://www.sematech.org/docubase/document/4736aeng.pdf
5. http://www.eecis.udel.edu/~mills/database/reports/ntp4/ntp4.pdf
6. http://anselmo.homeunix.net/Sun-BluePrints/0701/NTP.pdf
7. http://www.alliedtelesis.com/media/fount/software_reference/291/at8800/ntp.pdf
8. http://www8.cs.umu.se/kurser/5DV020/HT07/ntp.pdf
9. https://www.cisco.com/en/US/docs/switches/datacenter/sw/5_x/nx-
os/system_management/configuration/guide/sm_3ntp.pdf