Instalação e Configuração Novembro de 1998 Centro de Atendimento a Incidentes de Segurança - CAIS
Índice: Introdução Download Instalação Configuração Referência
Introdução Por que usar? Sincronização de Tempo Com o crescimento espantoso na quantidade de ataques, tem se mostrado cada vez maior a necessidade de se fazer auditorias, e para que uma auditoria possa apontar com certeza origens e autores de ataques, os relógios das máquinas devem estar sincronizados. Uma máquina com relógio errado pode dar abertura a respostas do tipo: não existia ninguém conectado com tal IP nesse momento.
Introdução Como funciona? O é um sistema de sincronização de relógio de máquinas hierarquizado, sendo que no topo da hierarquia sempre há alguma fonte confiável de horário. Essa fonte confiável pode ser um relógio atômico, um GPS ou qualquer outro sistema similar. Esse servidor ligado à fonte de horário é caracterizado como stratum 1.
Introdução Como funciona? Máquinas que sejam servidores sem uma fonte direta de horário, mas estejam sincronizadas a um servidor stratum 1, são caracterizadas como servidores stratum 2. E seguindo essa hierarquia encontraremos servidores stratum 3, 4...
Introdução Como funciona? A sincronização do tempo entre duas máquinas é feita utilizando-se o protocolo (Network Time Protocol Specification - RFC 1305), que se utiliza de um complexo algorítmo para chegar à sincronia entre duas máquinas sem que o delay da conexão entre essas duas máquinas interfira na sincronia.
Download ftp://ftp.cais.rnp.br ftp://ftp.cais.rnp.br/pub/packages/ntp/ntp-3.tar.gz
Instalação Instalação O sistema é composto por servidores, clientes, dois arquivos texto, um de configuração do servidor e outro de inicialização do mesmo. O servidor, ntpd, deve ser instalado somente em uma máquina na rede, enquanto o cliente, ntpdate (unix) e D4 (Windows 95) deverá ser instalado em todas as outras máquinas.
Instalação Instalação Além de arquivos de configuração já previamente preparados, o pacote disponibilizado pelo CAIS já possui os binários para os seguintes sistemas operacionais/arquiteturas: Linux 2.0.x i386 Linux 2.0.x Sparc FreeBSD i386 Solaris 2.5 Sparc AIX 4.1.4 RS/6000 Windows 95 (somente o cliente)
Instalação Binários Os binários incluídos no pacote são o servidor e o cliente ntp, além do ntpdc, um programa para verificação do sistema ntp. A instalação deve ser feita em: ntpdate e ntpdc /usr/local/bin ntpd /usr/local/sbin
Configuração Arquivo /etc/ntp.conf server ntp.aaa.rnp.br restrict aaa.bbb.ccc.ddd restrict XXX.XXX.XXX.0 mask 255.255.255.0 nomodify restrict 127.0.0.1 mask 255.255.255.255 driftfile /etc/ntp.drift Onde: ntp.aaa.rnp.br é o nome do servidor que será consultado aaa.bbb.ccc.ddd é o IP desta máquina onde está sendo instalado o XXX.XXX.XXX.0 é seu endereço de rede.
Configuração Arquivo /etc/ntp.conf Uma opção de configuração do ntpd é a utilização de peering. Neste caso, os servidores envolvidos no processo irão todos manter a sincronia entre eles mesmos, além do servidor utilizado como server. Exemplo: server ntp.aaa.rnp.br peer ntp.ansp.br prefer peer ntp.cais.rnp.br restrict ntp.aaa.rnp.br restrict ntp.ansp.br restrict ntp.cais.rnp.br...
Configuração Inicialização do Servidor ntp No pacote há um arquivo texto chamado xntpd. Este é um shell script que deve ser colocado no diretório* /etc/rc.d, e deve ser renomeado para rc.xntp, com permissões 0700. Desta forma, ele será iniciado sempre que a máquina estiver em processo de inicialização. * Observação: o diretório citado é referente ao Linux. No caso do Solaris, por exemplo, seria /etc/init.d e /etc/rc2.d/. Os caminhos dentro desse mesmo script devem ser verificados.
Configuração Firewall? No caso da rede interna ser protegida por um firewall, os pacotes UDP destinados a porta 123 do servidor deverão ser permitidos ou repassados, de forma que cheguem ao servidor.
Configuração Cliente As máquinas cliente do servidor interno utilizarão o binário ntpdate para fazer a sincronia do horário. Seu uso é bem simples, como no exemplo abaixo: # ntpdate ntp.cais.rnp.br 25 Nov 17:10:16 ntpdate[19623]: adjust time server 200.144.121.33 offset -0.017945 sec Idealmente o ntpdate deve ser executado pelo crontab do usuário root com certa freqüência para manter o horário da máquina o mais preciso possível.
Configuração Cliente para Windows 95 O cliente Windows 95 escolhido é o D4, um software de domínio público bastante fácil de ser configurado e que oferece bons recursos ao usuário. Sua configuração é bastante simples, como qualquer outro software para tal plataforma, bastando configurar o serviço a ser utilizado para sincronização (time 37/tcp) e qual o servidor de tempo. Entre outras opções, é possível configurá-lo para ser executado sempre em background, intervalo entre sincronizações, e valor máximo de acerto de tempo. Observação: A máquina que for atuar como servidor deverá ter o serviço time (37/tcp) habilitado no inetd caso a rede interna possua clientes Windows 95.
Configuração em roteadores Cisco Os roteadores Cisco podem ser configurados para manterem seus horários sincronizados com um servidor. As diretivas necessárias para tal configuração são: clock timezone GMT-3 clock summer-time GMT-2 date Oct 11 1998 0:00 Feb 21 1999 0:00 ntp source Ethernet0 ntp peer <IP_DO_SERVIDOR_>
Configuração Dica Somente reinicialize o servidor em caso de real necessidade, pois pode demorar algumas horas até que a sincronia esteja feita, e enquanto isso, o serviço não estará disponível.
Referência Referência http://www.eecis.udel.edu/~ntp