Implementando o servio NTP na sua rede local

CAIS - Centro de Atendimento a Incidentes de Segurana agosto de 2000

Este documento descreve os procedimentos de como implementar o servio NTP na sua rede local. Copyright. Os direitos autorais deste manual so reservados ao CAIS Centro de Atendimento a Incidentes de Segurana. A reproduo total ou parcial deste documento pode ser feita desde que mantida e citada a autoria do mesmo.

verso 1.0

Sumrio

1. 2. 2.1. 2.2. 2.2.1. 3. 3.1. 3.2. 4. 4.1. 5.

Apresentao Implementando o Servidor NTP (Sistemas Unix) Compilao e Instalao Configurao Opes de Configurao Implementando o Cliente NTP Instalao e Configurao em sistemas Unix Instalao e Configurao em sistemas Windows Implementando o servio NTP em Roteadores Configurao do Servio NTP em Roteadores Cisco Anexos

3 5 5 6 9 18 18 18 21 21 26

verso 1.0

1. Apresentao

A RNP Rede Nacional de Pesquisa disponibilizou recentemente um novo servio: o Servio NTP Network Time Protocol Stratum 1. Mas, o que este servio e qual a importncia do mesmo? Os servidores NTP permitem aos seus clientes a sincronizao dos relgios de seus computadores e outros equipamentos de rede a partir de uma referncia padro de tempo aceita mundialmente, conhecida como UTC (Universal Time Coordinated). A extenso do alcance da Internet torna a sincronizao do tempo crucial para a troca de informaes entre milhares de computadores que operam na base 24x7, ou seja, 24 horas por dia, sete dias por semana. Os benefcios da utilizao do NTP atingem tanto usurios quanto administradores de rede. Pelo lado dos usurios, a sincronizao dos relgios de computadores pode ser vital em certas operaes. Tomando como exemplo a entrega da declarao de Imposto de Renda, podemos supor que seja o ltimo dia para entrega, o relgio da mquina que hospeda o website da Receita Federal esteja adiantado um minuto e o prazo se encerre s 20h. Nesse caso, bastante plausvel, qualquer declarao entregue aps 19h59min ser rejeitada, causando prejuzos ao contribuinte. Atrasos de at um ou dois minutos so bastante freqentes quando no se usa um esquema de NTP. Do ponto de vista da administrao de redes, a utilizao do NTP muito vantajosa, pois possibilita a sincronizao automtica de todos os equipamentos conectados em rede. Ou seja, o administrador no precisa ir de mquina em mquina acertando o relgio local. Alm disso, a questo da segurana reforada com a adoo da sincronizao dos relgios dos equipamentos em rede pois a investigao de eventos de ataques em computadores depende da verificao de logs em diversos equipamentos. A inconsistncia dos horrios registrados inviabiliza esse trabalho. O NTP implementa um modelo de sincronizao hierrquico distribudo. No topo encontram-se os servidores de tempo stratum 1, computadores conectados diretamente a dispositivos conhecidos como "relgios de referncia" (ou servidores stratum 0), de altssima preciso. Tipicamente, estes dispositivos podem ser relgios atmicos, receptores GPS (Global Positioning Systems) ou receptores de rdio. Qualquer servidor NTP que tenha como referncia de tempo um servidor stratum 1 passa a ser um stratum 2, qualquer servidor NTP que tenha como referncia de tempo um servidor stratum 2 passa a ser um stratum 3, e assim por diante.

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

O servidor NTP stratum 1 da RNP, disponibilizado em ntp1.rnp.br, utiliza a tecnologia GPS, que obtm o tempo diretamente de um grupo de satlites. Atualmente, o acesso ao servidor no tem restrio, mas a RNP pretende organizar em alguns meses uma hierarquia de stratum 2 a partir dos seus PoPs, de redes estaduais e de outras redes autorizadas e viabilizar, com isso, a criao de servidores stratum 3 nas redes clientes para uso do pblico em geral. Esta hierarquia distribui a carga de processamento, o que resulta em um servio mais estvel e confivel para o usurio final. Neste contexto e com o intuito de difundir e promover a implementao de servidores NTP nas redes locais, o CAIS elaborou o presente manual a fim de auxiliar administradores e usurios nesta tarefa.

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

2. Implementando o Servidor NTP (Sistemas Unix)

2.1. Compilao e instalao 1. Fazer o download da ltima verso do NTP a partir de: www.ntp.org ltima verso atualmente: 4.0.99k 2. 3. Descompactar o arquivo ntp-<verso_atual>.tar.gz A compilao e instalao do servidor NTP trivial, normalmente basta seguir os passos indicados no arquivo install contido na distribuio. Estes se resumem basicamente execuo dos seguintes comandos:
./configure make make check make install

(como usurio root)

4.

A menos que seja indicado explicitamente outro diretrio, dentre outros, os seguintes binrios sero instalados no diretrio default /usr/local/bin: ntpd ntpdate Processo daemon. Utilitrio que permite configurar o horrio e data locais usando como referncia um servidor NTP remoto. Similar ao conhecido comando rdate. Programas de monitoramento e controle. Permitem realizar consultas a servidores NTP sobre o estado do mesmo e, eventualmente, requerer mudanas de tal estado. Determina de onde um determinado servidor NTP obtm a referncia de tempo e traa o caminho seguido at o servidor master (comumente, servidor NTP stratum 1).

ntpq e ntpdc

ntptrace

Todos eles so criados com permisso 755 (isto , rwxr-x-r-x), tendo como dono o usurio root. Maiores detalhes sobre o uso destes binrios podem ser encontrados nos documentos: ntpd - Network Time Protocol (NTP) daemon
http://www.eecis.udel.edu/~ntp/ntp_spool/html/ntpd.htm

ntpq - standard NTP query program

http://www.eecis.udel.edu/~ntp/ntp_spool/html/ntpq.htm

ntpdc - special NTP query program

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

http://www.eecis.udel.edu/~ntp/ntp_spool/html/ntpdc.htm

ntpdate - set the date and time via NTP

http://www.eecis.udel.edu/~ntp/ntp_spool/html/ntpdate.htm

ntptrace - trace a chain of NTP servers back to the primary source

http://www.eecis.udel.edu/~ntp/ntp_spool/html/ntptrace.htm

2.2. Configurao A configurao do servidor NTP inclui os seguintes passos: 1. Criao do arquivo de configurao. Por default, este arquivo o /etc/ntp.conf. Diretrizes de como construir este arquivo podem ser encontradas no item 2.2.1: Opes de Configurao. Um modelo do arquivo de configurao pode ser consultado no Anexo 02 deste documento. 2. Criao do arquivo de chaves, caso sejam implementadas as opes de autenticao. A diretiva keys no arquivo de configurao indicar a localizao e nome deste arquivo. Por default, este arquivo o arquivo /etc/ntp.keys. Diretrizes de como estruturar este arquivo podem ser encontrados no item 2.2.1: Opes de Configurao. Criao do arquivo drift com contedo vazio. A diretiva drift no arquivo de configurao indicar a localizao e nome deste arquivo. Por default, este arquivo o /etc/ntp.drift. O comando touch pode auxiliar nesta operao:
# touch /etc/ntp.drift

3.

4.

Inicializao do daemon ntpd. O daemon pode ser inicializado usando o seguinte comando:
# /usr/local/bin/ntpd

Caso o arquivo de configurao seja outro diferente ao default, o caminho deste dever ser explicitamente especificado usando o parmetro -c:
# /usr/local/bin/ntpd -c <arquivo_config>

5.

Existindo entre os respectivos relgios dos servidores local e remoto, um offset (diferena) maior do que 1000 seg (aprox. 20 minutos), o daemon no configurar o relgio local, gerar automaticamente uma mensagem de log e se auto-desativar. Para verificar se o daemon ntpd foi corretamente inicializado podem ser usados os utilitrios ntpq e ntpdc, executando qualquer um dos seguintes comandos:

6.

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

# ntpq -p <ip_servidor_NTP_local> # ntpdc <ip_servidor_NTP_local>

a) Uma inicializao sem sucesso ser reportada no arquivo de logs por uma mensagem do tipo:
ntpq: read: Connection refused

Neste caso, ser preciso ajustar previamente o relgio local com algum servidor NTP remoto, usando para tal algum mecanismo de ajuste conhecido, tal como o ntpdate, rdate ou mesmo manualmente, atravs do comando date. Usando o utilitrio ntpdate bastar executar:
# ntpdate < ip_servidor_NTP_remoto >

b) Uma inicializao com sucesso ser indicada por uma sada do tipo:
[root@maq2.cais.rnp.br]$ ntpq -p ntp.cais.rnp.br remote refid st t when poll reach 1 u 1 u 1 u 34 15 15 64 64 64 2 u delay 75 77 77 54 offset jitter 0.844 25.549 20.847 -74.994 0.679 ===================================================================== *server2.pop-df. .GPS. -rackety.udel.ed .GPS1. +tick.gpsclock.c .GPS. +listas.ansp.br 26.471 466.799 532.347 64 77 16.068 -134.49 -131.15 10.965

avantesma.agest

Lembre-se que quando o daemon do servidor local inicializa, leva em torno de 5 minutos para sincronizar adequadamente com o servidor remoto. Uma diferena de tempo menor que 128 ms requerida para sincronizao, seja paciente. 7. Para inicializar o servio NTP automaticamente durante o processo de boot, bastar realizar o seguinte: Em plataformas Solaris: a) Copiar o arquivo de inicializao do servio NTP, para o diretrio /etc/init.d (UID=root, GID=other, permisso=700). Este arquivo pode ser encontrado no Anexo 03 deste documento. b) No diretrio /etc/rc2.d (nvel 2), criar um link simblico para o arquivo /etc/init.d/ntp:
# ln -s /etc/init.d/ntp /etc/rc2.d/S74ntp

Em plataformas Linux (Red Hat):

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

a) Copiar o arquivo de inicializao do servio NTP para o diretrio /etc/rc.d/init.d (UID=root, GID=root, permisso=700). Este arquivo pode ser encontrado no Anexo 04 deste documento. b) No diretrio /etc/rc.d/rc2.d (nvel 2), criar um link simblico para o arquivo /etc/rc.d/init.d/ntp:
# ln -s /etc/rc.d/init.d/ntp /etc/rc.d/rc2.d/S74ntp

Em plataformas FreeBSD: a) Editar o arquivo /etc/rc.local (UID=root,GID=wheel, permisso=644) b) Acrescentar as seguintes linhas:
# Arquivo de inicializao do servidor NTP # O arquivo de configurao default o /etc/ntp.conf # echo 'starting NTP server...'/usr/local/bin/ntpd

8.

Devido velocidade da conexo e tempo de respostas, o servio NTP utiliza pacotes UDP, chegando eles pela porta 123. Assim, no caso de existir um filtro IP entre o seu servidor NTP e as mquinas que iro acess-lo, devero ser permitidas as conexes direcionadas porta 123/udp do servidor NTP. Em particular, se este filtro de pacotes for implementado usando um roteador Cisco, ser suficiente a criao de uma lista de acesso (ACL) do tipo:
access-list 101 permit udp any host <ip_servidor_NTP_local> eq 123

Ela dever ser associada interface por onde chegam os pacotes UDP com destino porta 123. 9. A seguinte URL pode ser visitada a fim de checar o perfeito funcionamento do seu servidor NTP:
http://www.gpsclock.com/check.html

Recomendaes finais: Criar o alias ntp.seu_dominio.br para o host que abriga o seu servidor NTP local. Se voc estiver implementando um servidor NTP stratum 2:

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

Divulgar informaes (abrangncia, poltica de acesso, etc) sobre o seu servidor NTP, na lista internacional (http://www.eecis.udel.edu/~mills/ntp/clock2.htm) mantida por Dave Mills (mills@udel.edu). Divulgar informaes (abrangncia, poltica de acesso, etc.) sobre o seu servidor NTP, na lista nacional (http://www.rnp.br/cais/ntp/stratum2.htm) mantida pelo CAIS/RNP (cais@cais.rnp.br) O Modelo de Divulgao pode ser consultado no Anexo 05 deste documento.

Idealmente, este servidor dever estar disponvel 24 horas/ 7dias, para tal recomendvel a criao de um endereo de contato para atender eventuais problemas tcnicos que o servidor, ou o acesso a ele, apresente. Preferencialmente, dever ser criado o alias ntp-admin@seu_dominio.br com este objetivo.

2.2.1. Opes de Configurao Caso se tenha familiaridade com a estruturao de um arquivo de configurao, esta seo pode ser Este documento no tem a pretenso de abordar todas as opes de configurao em detalhes, mas apenas dar uma pincelada naquelas consideradas relevantes e as que contemplam aspectos de segurana. Maiores detalhes sobre como estruturar um arquivo de configurao do servio NTP podero ser encontrados nos documentos: Notes on Configuring NTP and Setting up a NTP Subnet
http://www.eecis.udel.edu/~ntp/ntp_spool/html/notes.htm

Configuration of xntp
http://www.eecis.udel.edu/~ntp/ntpfaq/NTP-s-config.htm

2.2.1.1. Opes de associao Modos de Associao Existem quatro modos nos quais os servidores NTP podem se associar. Estes modos indicam o comportamento que o servidor NTP remoto espera do servidor NTP local. A seguir: Modo cliente/servidor Neste modo o servidor local, que atuar como cliente, poder sincronizar-se com o servidor remoto, que atuar como servidor. O comando utilizado no arquivo de configurao que indica este tipo de associao server.

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

Modo simtrico O servidor local sincroniza com o servidor remoto e vice-versa, se preciso for. Neste modo, ambos os servidores concordam em que, caso a referncia de tempo de algum deles falhe, o outro atuar como backup. O comando utilizado no arquivo de configurao que indica este tipo de associao peer. Modos multicast e broadcast O servidor local envia periodicamente mensagens de broadcasting para o endereo de um grupo de servidores especficos, que comumente o endereo (ou um dos endereos) de broadcasting da rede local ou o endereo multicast designado ao servio NTP pelo IANA (224.0.1.1). Quando usar cada tipo de associao? De um modo geral, quando preciso e confiabilidade so requeridos, os servidores operam no modo cliente/servidor ou simetricamente. Em contrapartida, quando estes requerimentos no so fundamentais, podem ser usados os modos multicast e broadcast. Em particular, no que diz respeito hierarquia NTP a ser implantada no backbone RNP, preciso e confiabilidade so aspectos bastante desejveis, levando em considerao o tipo de aplicaes atuais e as que estaro futuramente sendo implementadas no novo backbone RNP2. Assim, este procedimento no incluir maiores detalhes a respeito dos modos broadcast e multicast. Servidores NTP, de modo geral, so comumente configurados para operar no modo cliente/servidor, de forma que ele possa sincronizar com outro servidor remotamente. No entanto, quando se quer implementar redundncia, ou seja, configuraes que envolvam um nmero de servidores de tempo redundantes interconectados via diversos caminhos de rede, o modo simtrico o mais apropriado. Os servidores NTP que operam no ltimo nvel, isto , que provem sincronizao apenas a clientes NTP ou que no provem sincronizao a outros servidores locais, devem ser configurados no modo cliente/servidor. Como escolher os servidores NTP com os quais sincronizar? No processo de escolha dos servidores com os quais sincronizar, devero ser considerados aspectos como: menor nvel de stratum, preciso e proximidade fsica (para evitar delays altos e gerao de trfego desnecessrio). Da mesma forma, devero ser evitados pontos comuns de falha e a criao de loops. Para tal, recomenda-se o seguinte: Selecione, no mnimo, trs servidores NTP como referncia de tempo com os quais sincronizar. Um nmero menor aceitvel mas degrada a robustez. Considere sincronizar como "peer" com servidores fora da sua hierarquia NTP, de modo a prover redundncia.

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

10

Considere sincronizar como "server" com servidores na sua prpria hierarquia NTP, de modo a diminuir a inestabilidade dentro da prpria hierarquia. Evite sincronizar o servidor local com outro servidor do mesmo stratum usando associao "peer", a menos que ambos pertenam a hierarquias NTP totalmente independentes, isto minimiza a ocorrncia de pontos comuns de falha. Evite configurar associaes "peer" com servidores de stratum maior que o seu servidor local.

Finalmente, lembre-se que ao considerar um servidror NTP para sincronizao, muito importante que isto seja notificado ao administrador indicado como contato. Servidores NTP no devem ser usados sem permisso prvia. Comandos de configurao A sintaxe dos comandos server e peer como se segue:
server <host> [key <chave> | autokey | publickey <arq_chaves>] [burst] [version <verso>] [prefer] [minpoll <valor_min>] [maxpoll <valor_max>] peer <host> [key <chave> | autokey | publickey <arq_chaves>] [burst] [version <verso>] [prefer] [minpoll <valor_min>] [maxpoll <valor_max>]

Observaes host pode ser tanto um nome DNS como um endereo IP. No entanto, devido ao fato de que endereos IP podem mudar com certa facilidade, recomenda-se que se opte por colocar o nome cannico do servidor de tempo. Das opes que os comandos acima podem utilizar, existem algumas que se destacam e sero detalhadas em seguida (nos outros casos sero utilizados os valores default): O subcomando prefer marca o servidor NTP como sendo o preferido, isto , em uma relao de igualdade, este servidor ser escolhido para sincronizao entre uma srie de hosts operando corretamente. Embora este subcomando possa ser usado em qualquer associao, seja peer ou server, comumente usada em configuraes de servidores NTP stratum 1. Desta forma, o servidor NTP stratum 1 escolher para sincronizao, preferencialmente, o relgio de referncia ao qual o servidor est conectado. O subcomando key, se presente, especifica a chave a ser utilizada no processo de comunicao com o servidor NTP remoto. Este subcomando usado em conjunto com as opes de autenticao descritas no item C. Os subcomandos autokey e publickey so utilizados em conjunto com as opes de autenticao, especificamente no esquema de chaves pblicas.

Referncias adicionais

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

11

Configuration Options
http://www.eecis.udel.edu/~ntp/ntp_spool/html/confopt.htm

Association Management
http://www.eecis.udel.edu/~ntp/ntp_spool/html/assoc.htm

Mitigation Rules and the prefer Keyword

http://www.eecis.udel.edu/~ntp/ntp_spool/html/prefer.htm

2.2.1.2. Opes de controle de acesso O daemon NTPd implementa uma lista de restrio baseada na dupla endereo IP e mscara. Esta lista ordenada, em primeira instncia, por endereo IP e, em segunda instncia, por mscara, obedecendo seguinte regra bsica: o ltimo casamento (match) encontrado definir as flags de restrio que sero associadas aos pacotes NTP que chegam ao servidor. O comando bsico que implementa o controle de acesso o comando restrict, cuja sintaxe como se segue:
restrict <endereo_IP> mask <mscara> [flag]

Algumas observaes: O endereo IP pode indicar tanto o endereo de um host como o endereo de uma rede. A mscara default 255.255.255.255 que presume que o endereo IP corresponda a um nico host. A declarao default indica o endereo 0.0.0.0 com mscara 0.0.0.0. A flag sempre indica restrio de acesso, isto , a ausncia de qualquer flag indicar que no h nenhuma restrio de acesso para o endereo IP especificado. As flags de restrio de acesso podem ser de vrios tipos, as principais so: ignore: Pacotes NTP provenientes de hosts cujos endereos IP casem com a entrada restrict, sero ignorados. noquery: Pacotes NTP provenientes de hosts cujos endereos IP casem com a entrada restrict, que faam algum tipo de consulta ou atentem alguma modificao na configurao do servidor local, sero bloqueados. Em contrapartida, pacotes NTP que requeiram sincronizao de tempo, sero permitidos. nomodify: Pacotes NTP provenientes de hosts cujos endereos IP casem com a entrada restrict, que atentem alguma modificao no servidor NTP local, sero negados.

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

12

notrust: Pacotes NTP provenientes de hosts cujos endereos IP casem com a entrada restrict sero negados por serem considerados provenientes de uma referncia de tempo no confivel.

A seguinte tabela resume a ao provocada por cada uma das flags descritas acima, de acordo finalidade dos pacotes NTP que chegam:
flag Sincronizao de tempo com o servidor local Bloqueado Permitido Permitido Modificao da configurao Bloqueado Bloqueado Bloqueado Consulta ao o servidor NTP local Bloqueado Bloqueado Permitido

ignore noquery nomodify

A facilidade de controle de acesso no pretende, nem deve, ser considerada como alternativa facilidade de autenticao. Recomenda-se fortemente que principalmente os servidores primrios (stratum 1) implementem opes de controle de acesso e autenticao de modo a se protegerem contra intrusos hostis que visam desestabilizar o servio NTP. Referncias adicionais Access Control Options
http://www.eecis.udel.edu/~ntp/ntp_spool/html/accopt.htm

2.2.1.3. Opes de autenticao Esta facilidade permite a um servidor NTP local: verificar se o servidor NTP remoto com o qual pretende sincronizar (seja como "peer" ou como "server"), de fato quem diz ser; ser administrado por um servidor NTP remoto atravs dos utilitrios ntpq e ntpdc. Por exemplo, possvel incluir ou revogar um servidor NTP qualquer que o servidor NTP local use para se sincronizar, sem precisar para tal efetuar login no servidor local e reinicializar o daemon ntpd. Por default, esta facilidade est desativada, ou seja, no qualquer servidor que pode administrar remotamente um servidor NTP, apenas aqueles capazes de se "identificarem" como sendo servidores autorizados. Dentre as razes que podem justificar o uso de autenticao, podemos citar estas: uma forma de garantir que sejam usadas referncias de tempo confiveis; uma forma de evitar que um atacante distribua (broadcast) tempo errado; uma forma de evitar que um atacante se "disfare" como outro servidor e reconfigure remotamente o servidor NTP local.

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

13

Como o protocolo NTP implementa a autenticao? O processo de autenticao no servio NTP atravs de chaves. Ao configurar uma associao (peer, server, broadcast, etc), uma chave de autenticao pode ser especificada, a qual ser usada durante a troca de dados entre as mquinas que abrigam os servidores NTP envolvidos na associao em questo. Quando uma associao acontece no modo autenticado, cada pacote NTP transmitido acrescentado de um identificador de chave <id_chave> e de uma sequncia criptogrfica (checksum) gerada a partir desse novo pacote (que inclui o id_chave). Esta sequncia basicamente uma assinatura digital criada usando os algoritmos DES ou MD5. O servidor NTP que recebe o pacote NTP (de posse do arquivo de chaves) realiza o mesmo clculo do checksum e compara os resultados. Existindo a concordncia entre ambos os valores de checksum, a autenticao ser realizada com sucesso. De um modo geral, preciso que a chave de autenticao seja conhecida previamente pelas partes envolvidas. As chaves e outras informaes relacionadas so especificadas no arquivo de chaves, cuja estrutura tratada com mais detalhes na seo seguinte. Quando o daemon ntpd inicializado, ele l este arquivo e instala as chaves no cache. A distribuio das chaves pode ser feita utilizando dois mecanismos: o de criptografia de chaves privadas ou o de criptografia de chaves pblicas. A verso 3 do protocolo NTP suporta apenas o esquema de chaves privadas, j a verso 4 suporta ambos esquemas. Por considerar-se que o esquema de criptografia atravs de chaves pblicas ainda encontra-se em um estado de desenvolvimento, o presente documento abordar apenas o esquema de chaves privadas. Como criar o arquivo de chaves? No esquema de chaves privadas utilizado um nico arquivo de chaves, que por default o arquivo /etc/ntp.keys. Este arquivo basicamente est formado por entradas que tem a seguinte sintaxe:
<id_chave> <tipo_chave> <chave>

Onde: id_chave : Indica o identificador da chave (nmero inteiro no range 1-65535); tipo_chave: Indica o formato da chave, que pode ser de quatro tipos: S - chave em formato DES (nmero hexadecimal de exatamente 16 dgitos); N - chave DES em formato NTP (nmero hexadecimal de exatamente 16 dgitos) A - chave DES em formato DES (string 1-8 de caracteres ASCII); M - chave MD5 em formato MD5 (string de 1-31 caracteres ASCII) chave : Entenda-se como a senha propriamente dita. Um exemplo deste arquivo pode ser visto no arquivo anexo: ntp.keys

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

14

Sendo que as senhas associadas s chaves usadas pelos utilitrios ntpq e ntpdc so fornecidas manualmente, recomenda-se que elas tenham formato ASCII, isto , tipo M ou A. Dentre as duas alternativas, opte pelo uso das chaves do tipo M, pois DES um algoritmo de criptografia com restries de exportao fora dos EUA. O arquivo de chaves dever ter como dono o usurio root e permisses de acesso igual a 600. Comandos de autenticao Os comandos bsicos que permitem implementar autenticao so: keys, trustedkey, O comando keys especifica o caminho do arquivo de chaves, enquanto que o comando trustedkey especifica as chaves consideradas "confiveis" (chaves no comprometidas). Os comandos requestkey e controlkey especificam as chaves que sero utilizadas como senhas pelos utilitrios ntpq e ntpdc, respectivamente, e que permitiro configurar remotamente o servidor NTP.
requestkey, controlkey.

A sintaxe dos comandos acima mencionados como se segue:

keys <arquivo_chaves> trustedkey <id_chave1> <id_chave2> <id_chave3> ...<id_chave_ntpq> <id_chave_ntpdc> requestkey <id_chave_ntpq> controlkey <id_chave_ntpdc>

Repare que os identificadores das chaves usadas pelos utilitrios ntpq e ntpdc devem ser includas na lista de chaves "confiveis". Referncias adicionais Authentication Options
http://www.eecis.udel.edu/~ntp/ntp_spool/html/authopt.htm

Autonomous Authentication
http://www.eecis.udel.edu/~mills/autokey.htm

ntp_genkeys - generate public and private keys

http://www.eecis.udel.edu/~ntp/ntp_spool/html/genkeys.htm

2.2.1.4. Opes de logging

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

15

 possvel habilitar o registro de logs do servidor NTP atravs de dois comandos: logconfig e logfile. O comando logconfig controla a quantidade e o tipo de informao que ser registrada pelo sistema de logs usando o mecanismo de syslog. Alternativamente, estas mesmas informaes podem ser armazenadas em um arquivo de logs especfico. Neste ltimo caso utilizado o comando logfile. Na ausncia da diretiva logfile, assume-se que ser utilizado o mecanismo de syslog. As mensagens de logs podem ser divididas em quatro classes: clock peer sys sync Informaes relacionadas ao relgio Informaes relacionadas aos servidores peer Informaes relacionadas ao sistema Informaes relacionadas ao processo de sincronizao

Dentro destas classes, quatro tipos de mensagens podem ser controladas: events statistics status info Mensagens que controlam o registro de eventos do tipo: facilidade de alcance, sincronizao, condies de alarme, etc Mensagens que controlam dados estatsticos Mensagens que descrevem o status da sincronizao Mensagens que controlam informao de configurao

A sintaxe dos comandos logconfig e logfile respectivamente:

logconfig < chave_de_configurao > logfile < outro_arquivo_de_logs>

As chaves de configurao so formadas concatenando a classe de mensagem e o tipo de evento, e elas podem ser precedidas pelos smbolos: +, - e =, que adicionam. removem e configuram uma mensagem, respectivamente. O prefixo all pode ser usado no lugar de uma classe de mensagem. As combinaes dependero do objetivo que se tenha, por exemplo: Ao ser ativado o servio NTP, recomenda-se que se configure o servidor para mostrar informaes mais detalhadas das registradas por default, isto , algo do tipo:
logconfig =syncevents +peerevents +sysevents +allclock

Que far com que os eventos relacionados ao processo de sincronizao, aos servidores peers e ao sistema sejam logados. Uma configurao mnima poderia ser como segue:
logconfig =syncall +clockall

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

16

Que implicar no registro de quaisquer mensagens relacionadas ao processo de sincronizao e ao relgio. Na dvida, habilite totalmente o sistema de logs atravs da seguinte clusula:
logconfig =all

O CAIS recomenda que seja esta a opo escolhida. Referncias adicionais Miscellaneous Options
http://www.eecis.udel.edu/~ntp/ntp_spool/html/miscopt.htm

2.2.1.5. Opes diversas driftfile Um dos primeiros passos que o daemon ntpd realiza quando inicializado, computar o erro de frequncia do relgio no computador onde ele est rodando. Normalmente, pode levar um dia ou mais para o daemon estimar um valor adequado (e ele precisa de uma boa estimativa para sincronizar com o servidor NTP). Uma vez que este valor computado, ele mudar de maneira pouco significativa durante o transcurso da operao. O comando driftfile indicar ao daemon o nome do arquivo que armazena o valor estimado corrente do erro da freqncia. Caso a conexo de rede esteja temporariamente indisponvel, ou mesmo se o daemon tiver que ser reinicializado, o protocolo NTP poder usar este valor como valor inicial, de modo que seja evitada a perda de tempo no dia em recalcul-lo. Assim, a incluso deste comando primordial. O nome e caminho default deste arquivo /etc/ntp.drift. Lembre-se da necessidade de cri-lo previamente usando, para tal, o conhecido comando touch, tendo como valor inicial 0.
# touch /etc/ntp.drift (UID=root, permisses=600)

Referncias adicionais Miscellaneous Options

http://www.eecis.udel.edu/~ntp/ntp_spool/html/miscopt.htm

3. Implementando o Cliente NTP

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

17

3.1. Instalao e Configurao em sistemas UNIX 1. Verificar que o horrio, data e timezone da mquina estejam apropriadamente configurados. Copiar os binrios ntpdate e ntpq, gerados durante o processo de compilao do servidor NTP, para o diretrio /usr/local/bin da mquina que atuar como cliente NTP. O dono (UID=root) e as permisses de acesso (755) devero ser mantidos. Executar o comando:
# ntpdate <ip_servidor_NTP_local>

2.

3.

Lembre-se que leva em torno de 5 minutos para que o cliente NTP sincronize adeqadamente com o servidor remoto, seja paciente. 4. Incluir no crontab do usurio root a seguinte linha:
0 * * * * /usr/local/bin/ntpdate <ip_servidor_NTP_local> /dev/null

Isto far com que o cliente NTP, a cada hora, sincronize remotamente com o servidor NTP local e as mensagens geradas por esta operao sejam desprezadas. Em particular, se a mquina cliente NTP tambm atua como LOGHOST, recomendase que o tempo entre uma sincronizao e outra seja menor, talvez a cada 30 minutos. Nesse caso, a linha a ser includa dever ser:
0,30 * * * * /usr/local/bin/ntpdate <IP_servidor_NTP_local> /dev/null

3.2. Instalao do cliente NTP em sistemas Windows Que cliente NTP usar? O CAIS fez um levantamento das ferramentas freeware que atuam como clientes NTP/SNTP, dentre elas: NTPdate (binrio que acompanha a distribuio oficial do NTP4)
http://www.eecis.udel.edu/~ntp

AnalogX Atomic TimeSync

http://www.analogx.com/contents/download/network/ats.htm

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

18

Dimension 4
http://www.thinkman.com/dimension4

WorldTime Aps elas terem sido testadas e avaliadas, o CAIS considerou a ferramenta Dimension 4 como sendo a de configurao mais intuitiva e completa, bem como de tamanho razovel para ser instalada nas mquinas clientes. Assim sendo, o seguinte procedimento considera o uso desta ferramenta: 1. Fazer o download da ferramenta a partir do seguinte site:

http://www.thinkman.com/dimension4

2. 3.

Proceder com a instalao da mesma. Aps a instalao, ser preciso realizar alguns ajustes na configurao, para tal: a) Execute o programa dimension4. O programa ir inicializar e ficar minimizado na barra inferior prximo ao relgio do Windows. b) Posicionando o mouse em cima do cone minimizado, clique o boto direito do mouse e escolha a opo Open. Imediatamente, uma janela de ttulo Dimension 4 ser mostrada na tela. c) A configurao em si envolve os seguintes passos: Remover todas as opes de servidores NTP listados, alguns deles no disponibilizam mais o servio NTP e outros no podem ser livremente acessados. Adicionar na lista o seu servidor NTP local, para tal basta: Clicar no boto Add Preencher o campo Server com o IP/nome do servidor NTP local, de preferncia use o IP Preencher o campo Location com alguma informao que permita identificar o servidor, por exemplo: "Servidor NTP Local" Escolher o SNTP como protocolo a ser usado Clicar no boto OK para efetivar a incluso do servidor NTP

Clicar no boto Advanced. Uma janela de ttulo Dimension 4 Advanced Settings ser mostrada.

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

19

Na caixa de dilogo Message Boxes desabilitar as opes Display Errors e Display Syncronization Clicar no boto OK

Na caixa de dilogo How Often, configurar de modo que a cada 30 minutos seja feita a sincronizao. Por ltimo, clicar no boto OK e minimizar o programa. A configurao default j considera a execuo automtica do programa aps a reinicializao da mquina.

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

20

4. Implementando o servio NTP em Roteadores

4.1. Configurao do servio NTP em roteadores Cisco Um modelo com os comandos que devem ser includos no arquivo de configurao pode ser consultado no Anexo 06 deste documento. O seu roteador Cisco pode ser configurado para que o relgio do sistema esteja sincronizado via NTP ou at mesmo para que ele sirva como base de tempo a outros computadores/equipamentos de rede. Para tal, bastar seguir o procedimento abaixo descrito. Embora este tenha sido baseado no IOS verso 12.0 T(5), de um modo geral, pode ser considerado como procedimento padro para outras verses. 1. Antes de proceder com a configurao do roteador para sincronizar usando o protocolo NTP, preciso verificar que alguns parmetros locais relacionados ao tempo e data do sistema tenham sido adeqadamente configurados. Estes parmetros dizem respeito ao timezone, horrio de vero e relgio local. a) Para configurar manualmente o timezone, utilize o comando clock timezone, no modo de configuracao global, cuja sintaxe como segue:
clock timezone < zona > < horas > [< minutos >] Ex. clock timezone GMT-3 -3

b) Caso o seu roteador esteja localizado em uma rea afetada pelo horrio de vero, possvel usar qualquer uma das alternativas oferecidas pelo comando clock summer-time , executado no modo de configurao global:
clock summer-time < zona > recurring [< semana > < DD > < MM > < AA > hh:mm < semana > < DD > < MM > < AA > hh:mm [offset]] clock summer-time < zona > date < DD > < MM > < AA > hh:mm < DD > < MM > < AA > hh:mm [offset]

No Brasil, no existindo um padro para aplicao do horrio de vero, dever ser usada a segunda opo, na qual so colocados o inicio e fim do perodo do horrio de vero.
Ex. clock summer-time GMT-2 date Oct 3 1999 0:00 Feb 27 2000 0:00

c) De igual forma, importante que o relgio do sistema seja previamente configurado. O comando clock set, executado no modo EXEC, pode auxiliar nesta tarefa. 2. A configurao do roteador inclui:

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

21

a) Configurao das opes de associao Como se viu no item 2.2.1: Opes de Configurao, existem 4 modos de associao entre servidores NTP. De modo particular, para implementar associaes nos modos cliente/servidor (server) e simtrico (peer), bastar serem usados os comandos ntp server e ntp peer, respectivamente. A sintaxe destes comandos como segue:
ntp server < endereo_IP > [version < verso >] [key < id_chave > [source < interface >] [prefer] ntp peer < endereo_IP > [version < verso >] [key < id_chave > [source < interface >] [prefer]

Supondo que voc queira sincronizar o seu roteador com o servidor primrio da RNP (ntp1.rnp.br), no modo server, dever ser includa a seguinte diretiva:
ntp server ntp1.rnp.br

b) Configurao das opes de autenticao Para configurar seu roteador de modo que seja feita a autenticao com outros servidores atravs de chaves, preciso incluir as seguintes diretivas, no modo de configurao global: ntp authenticate ntp authentication-key <id_chave> <tipo_chave> <chave> ntp trusted-key <id_chave> Habilita a autenticao Define as chaves para autenticao Especifica as chaves confiveis

Lembre-se que os IOS atuais suportam apenas chaves de tipo MD5 e o valor da chave est no intervalo < 1-65535 >. Assim, supondo que seu roteador sincronize com servidores de IP aaa.aaa.aaa.aaa e bbb.bbb.bbb.bbb, que os identificadores das chaves destes servidores sejam respectivamente 5 e 6, e, que os valores associados sejam 1000 e 1001, voc dever incluir as seguintes linhas na configurao:
ntp server aaa.aaa.aaa.aaa key 5 ntp server bbb.bbb.bbb.bbb key 6 ntp authenticate ntp authentication-key 5 md5 1000 ntp authentication-key 6 md5 1001 ntp trusted-key 14

Nos sistemas Unix, estes valores so comumente definidos no arquivo /etc/ntp.keys. c) Configurao das opes de controle de acesso possvel implementar o controle de acesso em dois nveis:

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

22

criando um grupo de acesso (AG - Access Group) e associando-o a uma lista de acesso (AL - Access List); desativando o servio NTP em uma determinada interface.

No primeiro caso bastar usar o seguinte comando no modo de configurao global:

ntp access-group [query-only | serve-only | serve | peer] <lista_de_acesso>

As opes do grupo de acesso so como se segue (listadas por ordem de restrio, da menor maior): peer Permite a servidores remotos, previamente autorizados, fazerem consultas e sincronizarem com o servidor NTP local. Assim tambm, se preciso for, permitido que o servidor NTP remoto use o servidor NTP local como base de tempo. Permite a servidores remotos, previamente autorizados, fazerem consultas e sincronizarem com o servidor NTP local. No entanto, no permitido que o servidor NTP remoto use o servidor NTP local como base de tempo Permite a servidores remotos, previamente autorizados, usarem o servidor NTP local como base de referncia Permite a servidores remotos, previamente autorizados, fazerem apenas consultas ao servidor NTP local

serve

serve-only query-only

No segundo caso, o comando a ser usado ser:

ntp disable

d) Configurao da interface de sada de pacotes NTP A seguinte diretiva, usada no modo de configurao global, permitir especificar a interface pela qual os pacotes NTP sero enviados:
ntp source <interface>

e) Configurao do calendrio Em sistemas que tenham calendrios, possvel configurar o roteador de forma tal que este seja sincronizado periodicamente via NTP. Para tal, bastar incluir a seguinte diretiva no arquivo de configurao:
ntp update-calendar

f) Configurao do sistema como servidor NTP autoritativo

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

23

Caso a inteno seja, alm de sincronizar o relgio do seu roteador via NTP, que este o roteador sirva tambm de base de tempo a outros computadores, dever ser includa a seguinte diretiva:
ntp master [stratum]

A opo stratum apenas ser necessria caso o sistema no utilize nenhuma referncia de tempo externa para sincronizao. A ttulo de ilustrao includo um modelo de configurao do servio NTP em roteadores Cisco, veja o Anexo 06. 3. Para monitorar o relgio, o calendrio (quando existir) e alguns servios NTP, podem ser utilizados os seguintes comandos: show calendar show clock [detail] Mostra o tempo corrente do calendrio Mostra o tempo corrente do relgio do sistema

show ntp associations Mostra o status das associaes NTP [detail] show ntp status [detail] Mostra o status do servio NTP

A ttulo de ilustrao, so mostradas a seguir as sadas respectivas dos comandos acima, executados no roteador cisco-cais.cais.rnp.br:
cisco-cais#show clock 20:34:13.487 GMT-3 Tue Jul 11 2000 cisco-cais#show clock detail 20:35:04.318 GMT-3 Tue Jul 11 2000 Time source is NTP Summer time starts 00:00:00 GMT-3 Sun Oct 3 1999 Summer time ends 00:00:00 GMT-2 Sun Feb 27 2000 cisco-cais#show ntp status Clock is synchronized, stratum 3, reference is 200.144.121.33 nominal freq is 250.0000 Hz, actual freq is 249.9968 Hz, precision is 2**19 reference time is BD289F9C.8A8F5A49 (20:22:04.541 GMT-3 Tue Jul 11 2000) clock offset is -8.3184 msec, root delay is 452.48 msec root dispersion is 468.83 msec, peer dispersion is 376.28 msec cisco-cais#show ntp associations address ref clock 128.4.1.1 st 2 when 36 poll reach 64 177 delay 4.1 offset -6.36 disp 127.2 *~200.144.121.33

* master (synced), # master (unsynced), + selected, - candidate, ~ configured

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

24

Referncias
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/fun_c/fcprt3/fcgenral.ht m

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

25

5. ANEXOS

Anexo 01 Terminologia NTP disperso (clock dispersion/jitter) Em um processo repetitivo de leitura do tempo de um relgio, as diferenas podem variar aleatoriamente. A diferena entre estas diferenas chamada de jitter. drift (clock drift) Medida (em hertz por segundo) que determina que to rpido varia o skew de um relgio. estabilidade (clock stability) Determina que to bem um relgio pode manter uma freqncia constante. exatido (clock accuracy) Determina que to perto um relgio encontra-se de uma referncia de tempo padro como a UTC. GMT - Greenwich Mean Time Referncia padro de tempo, predecessora do padro UTC. Obtm o tempo a partir de eventos astronmicos, tal como o dia solar. GPS - Global Positioning System Constelao de 24 satlites orbitando a Terra que, atravs da trasmisso de sinais, permite determinar o tempo corrente com altssimo grau de preciso. NTP - Network Time Protocol Protocolo Internet usado para sincronizar os relgios de computadores (e alguns equipamentos de rede) com a referncia de tempo padro UTC. offset (clock offset) diferena de tempo entre dois relgios, comumente expressado em milisegundos. pacote NTP (NTP packet) Mensagem enviada pela rede em conformidade ao formato do protocolo NTP. preciso (clock precision) Menor incremento de tempo possvel que pode ser lido por um programa. relgio de referncia (reference clock)

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

26

Dispositivo que prov tempo corrente com altssima preciso. Tipicamente, estes dispositivos podem ser relgios atmicos, receptores GPS ou receptores de rdio. resoluo (clock resolution) Menor incremento de tempo possvel que um relgio permite. roundtrip delay Tempo que leva um host para enviar um pacote NTP a outro host e receber em resposta um outro pacote NTP. servidor primrio (primary server) Outro nome dado a um servidor NTP stratum 1. servidor secundrio (secondary server) Outro nome dado a um servidor NTP stratum 2. skew (clock skew) diferena (em hertz) entre a frequncia real de um relgio e a freqncia que deveria ter para atingir o tempo perfeito. stratum Nvel da hierarquia NTP. NTP classifica os servidores em nveis (estratos), indicando desta forma qual a distncia deste servidor a um relgio de referncia. O nvel 1 indica um servidor diretamente conectado a um relgio de referncia, enquanto que o maior nvel (stratum 16) costuma indicar que o relgio encontra-se inoperante ou inacessvel. De modo geral, um servidor de stratum "n" encontra-se a (n-1) hops do stratum 1 da hierarquia NTP qual pertence. UTC - Universal Time Coordinated Referncia padro de tempo aceita mundialmente. Obtm o tempo a partir da ressonncia magntica do tomo de csio.

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

27

Anexo 02 Modelo de Arquivo de Configurao dos Servidores NTP da Hierarquia NTP

# @Copyright - Centro de Atendimento a Incidentes de Segurana (CAIS) # Modelo de Arquivo de Configurao dos Servidores NTP da Hierarquia NTP # Host : ntp.pop-xx.rnp.br (IP_servidor_local) # Stratum : 2 # Arquivo :/etc/ntp.conf (verso 4) # # ltima atualizao: 20/07/2000 # # # ---- OPES DE ASSOCIAO ------server ntp1.rnp.br server ntp.outro.servidor.ntpS1 server ntp.outro.servidor.ntpS1 peer peer # # ---- OPES DE AUTENTICAO -----# # Se voc for implementar autenticao para permitir a configurao remota do # seu servidor NTP, ser preciso criar o arquivo de chaves ntp.keys. e definir # as chaves associadas atravs das diretivas requestkey (ntpq) e controlkey # (ntpdc) # NO USE OS VALORES DEFAULTS abaixo (65535), defina os seus prprios. # # keys /etc/ntp.keys # trustedkey # requestkey # controlkey # # ---- OPES DE CONTROLE DE ACESSO ----# Descomente a linha 'restrict default', de acordo com a poltica de # # # a) Poltica de acesso "DENY DEFAULT", isto , a menos que se indique o # # # # # # restrict default ignore notrust # # # # # # restrict IP_rede_local mask 255.255.255.0 nomodify # restrict IP_cliente1_ntp nomodify Neste caso ser preciso permitir explicitamente o acesso s mquinas conectadas rede local e a outros servidores (stratum 3) que atuem com clientes NTP. contrrio no permitido nenhum tipo de acesso (ignore = noquery+notime+nomodify) Assim tambm, por default, no considero confivel ("notrust") nenhum servidor NTP, mesmo este podendo acessar o servidor local. acesso que voc ir adotar: 65535 65535 65535 ntp.pop-zz.rnp.br ntp.outro.servidor.ntpS2 # Stratum 1 da RNP # Stratum 1 no Brasil # Stratum 1 no exterior # Stratum 2 na hierarquia NTP da RNP # Stratum 2 em outra hierarquia NTP

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

28

# restrict IP_cliente2_ntp nomodify # restrict IP_cliente3_ntp nomodify # # # -------------------------------# b) Poltica de acesso "PERMIT DEFAULT", isto , a menos que se indique o # # # # # # restrict default nomodify notrust # # -------------------------------# As seguintes linhas devero ser includas para ambas as polticas de acesso. # # - No permitir aos servidores NTP com os quais o servidor local for sincronizar, # # restrict IP_ntp1.rnp.br restrict IP_ntp.outro.servidor.ntpS1 restrict IP_ntp.outro.servidor.ntpS1 restrict IP_ntp.pop-zz.rnp.br NTP da RNP restrict IP_ntp.outro.servidor.ntpS2 hierarquia # # - No dever existir restrio nenhuma para a mquina local, a partir dela ser feita # inclusive a configurao. # ntp.pop-xx.rnp.br restrict IP_servidor_NTP_local statistics loopstats statsdir /var/log/ntp/ filegen peerstats file peers type day link enable filegen loopstats file loops type day link enable # # ------ OPES DE LOGGING ------logconfig all logfile /var/log/ntp/ntp.log # # ------ OPES DIVERSAS ------driftfile /etc/ntp.drift nomodify nomodify nomodify nomodify nomodify # Stratum 1 da RNP # Stratum 1 no Brasil # Stratum 1 no exterior # Stratum 2 na hierarquia # Stratum 2 em outra fazerem modificacoes na configurao contrrio permitido a qualquer servidor NTP sincronizar com o servidor local (time) e fazer consultas remotas ("query"). No entanto, por default, no considero confivel ("trust") nenhum servidor NTP, mesmo este podendo acessar o servidor local. ... e assim por diante.

restrict 127.0.0.1## -------- OPES DE MONITORAMENTO-------

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

29

Anexo 03 Arquivo de inicializao do servidor NTP (Solaris)

# Arquivo de inicializacao do servidor NTP (Solaris) # O arquivo de configuracao e' o /etc/ntp.conf (default) # #!/bin/sh killproc() { # kill named processes /usr/bin/grep ntpd | /usr/bin/sed -e 's/^ [ "$pid" != "" ] && kill $pid } case "$1" in 'start') ps -e | grep ntpd > /dev/null 2>&1 if [ $? -eq 0 ] then echo "ntp daemon already running. ntp start aborted" exit 0 fi if [ -f /etc/ntp.conf -a -x /usr/local/bin/ntpd ] then /usr/local/bin/ntpd -c /etc/ntp.conf fi ;; 'stop') killproc ntpd ;; *) echo "Usage: /etc/init.d/ntp { start | stop }" ;; esac *//' -e 's/ .*//'` pid=`/usr/bin/ps -e |

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

30

Anexo 04 Arquivo de inicializao do servidor NTP (Red Hat Linux)

# Arquivo de inicializacao do servidor ntpd (RedHat Linux) # O arquivo de configuracao e' o /etc/ntp.conf (default) # #!/bin/sh # # ntpd # # # chkconfig: - 55 10 # description: ntpd is the NTPv3 daemon. # Source function library. . /etc/rc.d/init.d/functions # Source networking configuration. . /etc/sysconfig/network # Check that networking is up. [ ${NETWORKING} = "no" ] && exit 0 [ -x /usr/local/bin/ntpd -a -f /etc/ntp.conf ] || exit 0 RETVAL=0 # See how we were called. case "$1" in start) # Adjust time to make life easy for ntpd if [ -f /etc/ntp/step-tickers ]; then echo -n "Syncing time for ntpd. " tickers` fi # Start daemons. echo -n "Starting ntpd: " daemon /usr/local/bin/ntpd RETVAL=$? echo [ $RETVAL -eq 0 ] && touch /var/lock/subsys/ntpd ;; stop) # Stop daemons. echo -n "Shutting down ntpd: " killproc ntpd RETVAL=$? echo [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/ntpd /usr/local/bin/ntpdate -s -b -p 8 -u `cat /etc/ntp/stepThis shell script takes care of starting and stopping ntpd

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

31

;; status) status ntpd RETVAL=$? ;; restart|reload) $0 stop $0 start RETVAL=$? ;; *) echo "Usage: ntpd {start|stop|restart|status}" exit 1 esac exit $RETVAL

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

32

Anexo 05 Modelo para divulgao de informaes sobre o seu servidor NTP stratum 2
# Modelo para divulgao de informaes sobre o seu servidor NTP stratum 2 # Corresponde ao servidor NTP do CAIS/RNP (stratum 2) # ntp.cais.rnp.br (200.144.121.33) Location: Brazilian Research Network/Rede Nacional de Pesquisa (RNP) Synchronization: NTP V4 Secondary (stratum 2), SunSparc10/Solaris Service Area: Brazil Access Policy: Open access to stratum 2 and stratum 3 NTP servers. Please, send a mail to notify. Contact: ntp-admin@cais.rnp.br

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

33

Anexo 06 Modelo de Arquivo de Configurao de Chaves

# @Copyright - Centro de Atendimento a Incidentes de Segurana (CAIS) # Modelo de Arquivo de Configurao de Chaves # Arquivo :/etc/ntp.keys # # ltima atualizao: 20/07/2000 # # # <id_chave> <tipo_chave> <chave> # 1 # 2 # 8 # 9 M c0nfredit0 #Chave MD5 em formato MD5 (ASCII 32 char) #Esta chave ser usada com os utilitrios ntpq e ntpdc A c0nfred #Chave DES em formato DES (ASCII 8 char) M QvYotMRIrop8KPPv #Chave MD5 em formato MD5 (ASCII 32 char) N 461ECD6AE29233E0 #Chave DES em formato NTP (hexadecimal)

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

34

Anexo 07 Modelo para configurao do servio NTP em um roteador Cisco

! @Copyright - Centro de Atendimento a Incidentes de Segurana (CAIS) ! Modelo para configurao do servio NTP em um roteador Cisco ! ! ltima atualizao: 20/07/2000 ! ! ------ Configurao do horrio e timezone local ----clock timezone GMT-3 3 ! ! Se a regio onde o roteador encontra-se afetada pelo horrio de vero, a ! seguinte linha dever ser descomentada e modificada de acordo ao periodo que ! compreende o horrio de vero. ! ! clock summer-time GMT-2 date Oct 3 1999 0:00 Feb 27 2000 0:00 ! ! ------ Configurao do Servio NTP ----------! ! A ttulo de ilustrao, considere o modelo seguinte: ! ! ! ! ! Escolha a opo a) ou b), de acordo funo do seu roteador. Em seguida, ! descomente e substitua as informaes contidas nas linhas abaixo com os seus ! dados: ! ! a) Conifgurando seu roteador como cliente NTP apenas ! ! ! ! ! ! ! ! ! b) Configurando seu roteador como servidor NTP local (stratum 2) ! ! ! ! ! ! ! ! ! ! ! ! 1. Liste os servidores com os quais sincronizar, recomenda-se no mnimo 3: ntp server IP.ntp1.rnp.br ntp server IP.servidor.ntp.S1 ntp server IP.servidor.ntp.S1 ntp peer IP.servidor.ntp.S2 ! Stratum 1 da RNP ! Stratum 1 no Brasil ! Stratum 1 no exterior ! stratum 2 na hierarquia NTP 1. Aponte para o servidor NTP local. ntp server ntp.cais.rnp.br 2. Desabilite o servio ntp na interface externa interface Eth1 ntp disable 3. Indique a interface por onde chegam os pacotes NTP ntp source Eth0 ___ Internet Eth1 __________ Roteador Eth0 ___ Rede Local {___}-----------|__________|-------------|___|-----

2. Indique a(s) interface(s) por onde chegam os pacotes NTP ntp source Eth0 ntp source Eth1 3. Configure as opes de autenticao, se achar necessrio. Substitua <id_chaveN> e <chaveN> por valores escolhidos. ntp authenticate

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

35

! ! ! ! ! ! ! ! !

ntp authentication-key ntp authentication-key

<id_chave1> md5 <chave1> <id_chave2> md5 <chave2>

ntp trusted-key <id_chave1> <id_chave2> <id_chave_ntpq> <id_chave_ntpdc> 4. Configure as opes de controle de acesso, se achar necessrio. 5. Configure o calendrio, caso o seu roteador o tenha. ntp update-calendar 6. Configure seu roteador como servidor NTP autoritativo ntp master

Implementando o Servio NTP na sua rede local Copyright CAIS/RNP

36