TRƢỜNG ĐẠI HỌC SÀI GỊN KHOA CƠNG NGHỆ THƠNG TIN BÁO CÁO ĐỀ TÀI NTP VÀ CÁC VẤN ĐỀ BẢO MẬT NTP Giáo viên : Nguyễn Ngọc Kim Khánh Nhóm SV: Nguyễn Hồi Niên 3108410145 Lưu Thế Chi 3108410026 Phạm Huỳnh Sang 3108410174 2011 Linux“ Đề tài: NTP vấn đề bảo mật liên quan Quản trị Mạng NHẬN XÉT GIÁO VIÊN Đề tài: NTP vấn đề bảo mật liên quan STT MSSV Họ tên Khối lƣợng cơng việc(%) 3108410145 Nguyễn Hồi Niên 3108410026 Lưu Thế Chi 3108410174 Phạm Huỳnh Sang Nhận xét: Trang 111 Đề tài: NTP vấn đề bảo mật liên quan Quản trị Mạng MỤC LỤC I Giới thiệu tổng quan Trang NTP gì, phải sử dụng NTP? Các khái niệm a Local time Universal time b Hardware clocks software clocks II Khái niệm thời gian Linux III Cấu hình NTP Giới thiệu sơ lược Cấu hình NTP server Cấu hình NTP client a Linux 12 b Windows 14 IV Các vấn đề bảo mật NTP Tấn công DoS thông qua NTP mode packets 15 Chiếm quyền điều khiển Autokey kích hoạt Đề tài: NTP vấn đề bảo mật liên quan Quản trị Mạng II THỜI GIAN TRÊN LINUX Hầu hết máy tính hiển thị thời gian địa phương (Local time), Software clock Mỗi boot vào hệ thống, đồng Hardware clocks Software clock thực Và sau chạy độc lập với Hardware clocks UTC Local time thường khuyến cáo UTC Trên Linux time zone lưu trữ /usr/share/zoneinfo /usr/lib/zoneinfo tùy phân phối Window khóa registry HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\CurrentVersion\ Time Zones\ Do máy tính thị xác Local time mặc cho Hardware clocks UTC Ở Linux múi hệ thống xác định liên kết tượng trưng /etc/localtime Để thay đổi time zone Ho_Chi_Minh ta sử dụng câu lệnh sau: #ln -sf /usr/share/zoneinfo/Asia/Ho_Chi_Minh /etc/localtime Truy vấn thời gian hành hệ thống với #date command #date Sun Jul 14 21:53:41 EET DST 1996 “EET DST” quy ước viết tắt múi vùng Để xem UTC time hardware clock sử dụng option -u #date –u Sun Jul 14 18:53:42 UTC 1996 Ta thay đổi thời gian hành hệ thống với #date $date 07142157 Sun Jul 14 21:57:00 EET DST 1996 Tham khảo #man date Với lệnh &date không thay đổi hardware clock, muốn làm điều cần #clock –w Lệnh khơng có option lệnh #hwclock -w dùng để đồng hardware software clock cần Xem thêm #man clock #man hwclock Sở dĩ phải đồng software clock lúc trì xác Nó hoạt động nhờ timer interrupt hardware Khi có q nhiều tiến trình chạy lúc dịch vụ gián đoạn dẫn đến trễ cho software clock Trang Đề tài: NTP vấn đề bảo mật liên quan Quản trị Mạng III CẤU HÌNH NTP CƠ BẢN Giới thiêu sơ lƣợc NTP Thời gian máy tính quan trọng nên cần độ xác cao Các quản trị trực dõi sai khác thời gian hệ thống để khắc phục kịp thời lệnh đồng Điều nhiều rủi ro lãng phí Như giới thiệu, NTP giao thức đồng thời gian mạng, tự động kiểm tra thời gian hệ thống riêng cách so sánh với thời gian máy tính khác biết đến với thời gian xác Nó phương pháp xác minh, điều chỉnh thời gian máy tính bạn cách xác với máy chủ thời gian NTP Những máy chủ NTP gốc xây dựng phức dựa máy đếm xung nhịp, định vị GPS, kết nối vệ tinh…nhằm đảm bảo lun cung cấp thời gian xác cho hệ thống mạng sử dụng NTP Các máy chủ có stratum Ta nói rõ Stratum phụ lục NTP nghiên cứu từ sớm khoản 1980 với tên Internet Clock Service đặt tả kĩ thuật [RFC 778] Phiên thức 1988 đặt tả [RFC 1059] với hoạt động server-client Chỉ năm sau phiên NTP 2, giới thiệu “symmetric-key authentication” [RFC 1119] Năm 1992 NTP v3 đời [RFC 1305] với góp mặt chế độ broadcast Một loạt cải tiến phiên tạo nên NTP v4 (1999) như: Simple Network Time Protocol (SNTP) phiên cho IPv4, IPv6 OSI… Trong Linux, NTP có daemon ntpd Trang NTP server stratum Đề tài: NTP vấn đề bảo mật liên quan Quản trị Mạng Cấu hình NTP server + Kiểm tra gói ntp cài đặt máy chưa với lệnh #rpm Thơng thường gói ln cài đặt hệ thống cần + File cấu hình NTP /etc/ntp.conf Ta không nên tự tạo file config mà thừa kế từ file gốc Backup file cấu hình gốc trước cấu hình + Cấu hình file với lệnh #vim Bạn phải gói Vim sẵn sàng + Những NTP server mặc định chọn Ta thêm thay đổi server với domain địa IP Xem thêm NTP server : http://support.ntp.org/bin/view/Servers/ StratumOneTimeServers + Theo sau từ khóa restrict định nghĩa điều khiển truy xuất đề nghị cho tất kết nối mặc định Trang ii permit the source to query or modify the service on this System * re51:ri«:1: default Icod numndify nntrap nnpeer nnquery mi Đề tài: NTP vấn đề bảo mật liên quan Quản trị Mạng Xem bảng giải thích sau: Từ khóa Định nghĩa ignore Khóa tất gói truy vấn kod Gửi gói Kiss-OfDeath nomodify Khơng cho phép thay đổi cấu hình server noquery Khóa truy vấn ntpq / ntpdc notrap Khóa việc điều khiển dich vụ tin nhắn bẩy nopeer Khóa việc thiết lâp peer notrust Khóa truy cập chưa chứng thực + Cho phép đầy đủ điều khiển localhost Bạn thêm từ khóa bảng để hạn chế điều khiển không cần thiết + Tương tự NTP server vần tham chiếu + Dòng lệnh cho phép máy trạm mạng cục truy vấn đến NTP server + Hồn tất với dòng lệnh sau: fudge: bổ sung thông tin cho local clock Driftfile: Đường dẫn đến file số trôi thời gian hệ thống Keys: file chứa key chứng thực NTP Trang Đề tài: NTP vấn đề bảo mật liên quan Quản trị Mạng + Khởi động lại dịch vụ Cơ việc cấu hình NTP server hoàn tất + Kiểm tra file log: #grep ntpd /var/log/messages Trang 10 + Do gói NTP hoạt động port 123 nên ta phải đảm bảo firewall khơng khóa port Mở port 123 với lệnh #iptables –A INPUT –j ACCEPT –p tcp – dport 123 È serverl serverl serverl serverl 5er\.rerl precision = 1.33@ use-: Listening Listening Listening Listening Listening Listening interface interface interface interface interface ... Chứng thực NTP 16 V NTP Windows 17 VI Phụ lục 19 Trang Đề tài: NTP vấn đề bảo mật liên quan Quản trị Mạng I GIỚI THIỆU TỔNG QUAN NTP phải sử dụng NTP? Thật hài... IPv6 OSI… Trong Linux, NTP có daemon ntpd Trang NTP server stratum Đề tài: NTP vấn đề bảo mật liên quan Quản trị Mạng Cấu hình NTP server + Kiểm tra gói ntp cài đặt máy chưa với lệnh #rpm Thơng... Năm 1992 NTP v3 đời [RFC 1305] với góp mặt chế độ broadcast Một loạt cải tiến phiên tạo nên NTP v4 (1999) như: Simple Network Time Protocol (SNTP) phiên cho IPv4, IPv6 OSI… Trong Linux, NTP có