NTP (Network Time Protocol)
Log kayıtları için zaman bilgisi çok önemlidir. Router üzerinde zaman değerleri doğru bir şekilde ayarlanmalıdır.
Router üzerinde zaman bilgisini sağlayan iki saat vardır.
Hardware Clock : Pille beslenen donanımsal saat. Router yeniden başlatıldığında zaman bilgisini
kaybetmemesi için kullanılır. Tüm Cisco cihazlarında olmayabilir. IOS’da CALENDAR olarak belirtilir.
Software Clock: Tüm Cisco cihazlarında bulunur. Eğer cihazda dahili saat (hardware Clock) yoksa cihaz
yeniden başlatıldığında zaman bilgisini unutur. Cihaz üzerinde çalışan sistemlerin zaman bilgisini almak
için başvurduğu birincil kaynaktır. IOS ‘da CLOCK olarak belirtilir. Software Clock değerlerini ayarlamak
için birden fazla seçenek vardır.
Elle yapılandırılabilir.
NTP Master (Server) ile senkronize olabilir.
VINES Time Source
Software Clock
config)# clock timezone zone_ismi hours-offset [minutes-offset]
config)# clock summer-time zone_ismi recurring [hafta gün ay hh:mm hafta gün ay hh:mm
[offset]]
config)# clock summer-time zone_ismi date ay gün yıl hh:mm ay gün yıl hh:mm [offset]
config)# clock summer-time zone_ismi date gün ay yıl hh:mm gün ay yıl hh:mm [offset]
Yukarıdaki 3 şekilde de yaz saati uygulamasının başlangıç ve bitiş tarihleri belirtilebilir. Offset alanına ise yaz
uygulamasında ne kadar zaman ekleneceği belirtilir.
#clock set hh:mm:ss [gün ay yıl ya da ay gün yıl]
Hardware Clock
Router> calendar set hh:mm:ss [gün ay yıl ya da ay gün yıl]
config)# clock calendar-valid
Router geçerli zaman kayanağı olarak hareket eder. Diğer eşler zaman bilgisini buradan güncelleyebilir.
config)#ntp update-calendar
Hardware clock’un software clock ile eşitlenmesini sağlar.
NTP ile Yapılandırma
NTP, ağ üzerindeki cihazların zaman bilgilerini eşitlemeleri için geliştirilmiştir. UDP 123 numaralı portu kullanır
ve güncel sürümü (sürüm 3) RFC 1305 de açıklanmıştır.
NTP ağı zaman bilgisini güvenilir bir kaynaktan (radio Clock, GPS Time Zone ya da atomic Clock bağlantılı NTP
sunucundan) alır.NTP daha sonra bu zaman bilgisini ağa dağıtır.
NTP kaynağın kaç sekme uzakta olduğunu belirtmek için STRATUM kavramını kullanır. Eğer sunucuda güvenilir
zaman kaynağı bağlantısı (radio Clock, GPS Time Zone ya da atomic Clock )varsa stratum değeri 1 olur.
NTP çalışan cihazlar (associations) arasındaki bağlantı genellikle statik olarak yapılandırılır. Her cihaz da iletişim
kuracağı diğer NTP cihazının ip bilgeleri elle yapılandırılır. Her eş arasında NTP mesajı alış verişi ile zamanlama
bilgisinin doğru şekilde tutulması sağlanır. Fakat LAN ağlarında NTP brodacast mesajlarını kullanacak şekilde de
yapılandırılabilir. Bu yöntem konfigürasyonu azaltır ama mesaj akışı tek yönlü olduğu için diğer yöntem kadar
zamanlama bilgisinin doğru bir şekilde tutulmasını sağlamaz.
Zaman bilgisi için birden fazla kaynak kullanımı durumunda otomatik olarak NTP (eğer kullanılıyorsa) tercih
edilir.
NTP kullanımında kaynağın kim olacağına karar verilmeli Kaynak internet üzerindeki NTP sunucuları olabileceği
gibi iç ağda yapılandırılmış NTP Sunucu da olabilir.
İç ağda NTP Sunucusu (Private) yapılandırılacaksa sunucu CUT (Coordinated Universal Time) ile radyo sinyalleri
ya da uydu yoluyla eşitlenmeli. Fakat bu sunucunun güvenli olduğundan emin olunmalı. Aksi takdirde Bogus
NTP mesajları ile ağa saldırı yapılabilir zamanlama değerleri bozulabilir. Güvenlik sertifikaları geçersiz hale
gelebilir.
İnternet üzerindeki NTP Sunucularından (Public) biri kullanılacaksa paketler firewall üzerinden alınmalı.
config)#ntp master [stratum]
NTP Master olarak yapılandırılır. (Cisco NTP, stratum 1 desteklemez)
config)#ntp server [ip ya da hostname] [version versiyon_numarası] [key key_id]
[source arayüz] [prefer]
İstemcinin NTP Master ile bağlantı kurup zaman bilgisini eşitlemesini sağlar. Eğer arayüz belirtilirse paketler bu
arayüzden alınır. Belirtilmez ise kaynağa en yakın arayüz tercih edilir. Birden faza NTP sunucusu eklenebileceği
için öncelikli sunucuya PREFER parametresi eklenir.
NOT: IP yerine hostname kullanılacaksa Router’ın isimleri çözebilmesi için gerekli sunucu belirtilmeli.
config)#ip name server [sunucu ip]
config)# ntp peer ip-address [normal-sync][versionnumarası][key keyid]
[source arayüz adı] [prefer]
Bu yapılandırmada istemci modunda değil Symmetric active modundadır. Hem zaman bilgisi için istekte
bulunur hem de kendisine gelen isteklere cevap verir. Birbirlerine farklı yollarla bağlı yedekli sunucuların
olduğu topolojilerde kullanılmalı.
Eşzamanlı olarak yüksek miktardaki zaman bilgisi istekleri ağın performansını etkileyebilir.Böyle durumlarda
NTP bilgileri broadcast mesajları ile dağıtılabilir.
-if)#ntp broadcast [version versiyon_numarası]
Arayüzden NTP Broadcast mesajları göndermesini sağlar.
-if)#ntp broadcast client
NTP Master tarafından gönderilen mesajları belirlenen arayüzden almasını sağlar.
config)# ntp broadcastdelay [microseconds]
Broadcast mesajlarının hangi aralıklarla gönderileceği belirlenir.
-if)#ntp disable
İstenilen arayüzde NTP paketlerinin alınması iptal edilir.
NOT: Public NTP Sunucularının listesi http://support.ntp.org/bin/view/Servers/WebHome.
National of Standards and Technology (NIST)—time‐nw‐nist‐gow (131.107.1.10)
İzleme ve Sorun Giderme
#show clock
#show calendar
#show ntp status
#show ntp associations [detail]
#debug ntp [adjust | core | events ]
Kaynak: Erdem TUNCAY. CCNA Security Eğitimi-Eylül 2011-Ankara
Log kayıtları için zaman bilgisi çok önemlidir. Router üzerinde zaman değerleri doğru bir şekilde ayarlanmalıdır.
Router üzerinde zaman bilgisini sağlayan iki saat vardır.
Hardware Clock : Pille beslenen donanımsal saat. Router yeniden başlatıldığında zaman bilgisini
kaybetmemesi için kullanılır. Tüm Cisco cihazlarında olmayabilir. IOS’da CALENDAR olarak belirtilir.
Software Clock: Tüm Cisco cihazlarında bulunur. Eğer cihazda dahili saat (hardware Clock) yoksa cihaz
yeniden başlatıldığında zaman bilgisini unutur. Cihaz üzerinde çalışan sistemlerin zaman bilgisini almak
için başvurduğu birincil kaynaktır. IOS ‘da CLOCK olarak belirtilir. Software Clock değerlerini ayarlamak
için birden fazla seçenek vardır.
Elle yapılandırılabilir.
NTP Master (Server) ile senkronize olabilir.
VINES Time Source
Software Clock
config)# clock timezone zone_ismi hours-offset [minutes-offset]
config)# clock summer-time zone_ismi recurring [hafta gün ay hh:mm hafta gün ay hh:mm
[offset]]
config)# clock summer-time zone_ismi date ay gün yıl hh:mm ay gün yıl hh:mm [offset]
config)# clock summer-time zone_ismi date gün ay yıl hh:mm gün ay yıl hh:mm [offset]
Yukarıdaki 3 şekilde de yaz saati uygulamasının başlangıç ve bitiş tarihleri belirtilebilir. Offset alanına ise yaz
uygulamasında ne kadar zaman ekleneceği belirtilir.
#clock set hh:mm:ss [gün ay yıl ya da ay gün yıl]
Hardware Clock
Router> calendar set hh:mm:ss [gün ay yıl ya da ay gün yıl]
config)# clock calendar-valid
Router geçerli zaman kayanağı olarak hareket eder. Diğer eşler zaman bilgisini buradan güncelleyebilir.
config)#ntp update-calendar
Hardware clock’un software clock ile eşitlenmesini sağlar.
NTP ile Yapılandırma
NTP, ağ üzerindeki cihazların zaman bilgilerini eşitlemeleri için geliştirilmiştir. UDP 123 numaralı portu kullanır
ve güncel sürümü (sürüm 3) RFC 1305 de açıklanmıştır.
NTP ağı zaman bilgisini güvenilir bir kaynaktan (radio Clock, GPS Time Zone ya da atomic Clock bağlantılı NTP
sunucundan) alır.NTP daha sonra bu zaman bilgisini ağa dağıtır.
NTP kaynağın kaç sekme uzakta olduğunu belirtmek için STRATUM kavramını kullanır. Eğer sunucuda güvenilir
zaman kaynağı bağlantısı (radio Clock, GPS Time Zone ya da atomic Clock )varsa stratum değeri 1 olur.
NTP çalışan cihazlar (associations) arasındaki bağlantı genellikle statik olarak yapılandırılır. Her cihaz da iletişim
kuracağı diğer NTP cihazının ip bilgeleri elle yapılandırılır. Her eş arasında NTP mesajı alış verişi ile zamanlama
bilgisinin doğru şekilde tutulması sağlanır. Fakat LAN ağlarında NTP brodacast mesajlarını kullanacak şekilde de
yapılandırılabilir. Bu yöntem konfigürasyonu azaltır ama mesaj akışı tek yönlü olduğu için diğer yöntem kadar
zamanlama bilgisinin doğru bir şekilde tutulmasını sağlamaz.
Zaman bilgisi için birden fazla kaynak kullanımı durumunda otomatik olarak NTP (eğer kullanılıyorsa) tercih
edilir.
NTP kullanımında kaynağın kim olacağına karar verilmeli Kaynak internet üzerindeki NTP sunucuları olabileceği
gibi iç ağda yapılandırılmış NTP Sunucu da olabilir.
İç ağda NTP Sunucusu (Private) yapılandırılacaksa sunucu CUT (Coordinated Universal Time) ile radyo sinyalleri
ya da uydu yoluyla eşitlenmeli. Fakat bu sunucunun güvenli olduğundan emin olunmalı. Aksi takdirde Bogus
NTP mesajları ile ağa saldırı yapılabilir zamanlama değerleri bozulabilir. Güvenlik sertifikaları geçersiz hale
gelebilir.
İnternet üzerindeki NTP Sunucularından (Public) biri kullanılacaksa paketler firewall üzerinden alınmalı.
config)#ntp master [stratum]
NTP Master olarak yapılandırılır. (Cisco NTP, stratum 1 desteklemez)
config)#ntp server [ip ya da hostname] [version versiyon_numarası] [key key_id]
[source arayüz] [prefer]
İstemcinin NTP Master ile bağlantı kurup zaman bilgisini eşitlemesini sağlar. Eğer arayüz belirtilirse paketler bu
arayüzden alınır. Belirtilmez ise kaynağa en yakın arayüz tercih edilir. Birden faza NTP sunucusu eklenebileceği
için öncelikli sunucuya PREFER parametresi eklenir.
NOT: IP yerine hostname kullanılacaksa Router’ın isimleri çözebilmesi için gerekli sunucu belirtilmeli.
config)#ip name server [sunucu ip]
config)# ntp peer ip-address [normal-sync][versionnumarası][key keyid]
[source arayüz adı] [prefer]
Bu yapılandırmada istemci modunda değil Symmetric active modundadır. Hem zaman bilgisi için istekte
bulunur hem de kendisine gelen isteklere cevap verir. Birbirlerine farklı yollarla bağlı yedekli sunucuların
olduğu topolojilerde kullanılmalı.
Eşzamanlı olarak yüksek miktardaki zaman bilgisi istekleri ağın performansını etkileyebilir.Böyle durumlarda
NTP bilgileri broadcast mesajları ile dağıtılabilir.
-if)#ntp broadcast [version versiyon_numarası]
Arayüzden NTP Broadcast mesajları göndermesini sağlar.
-if)#ntp broadcast client
NTP Master tarafından gönderilen mesajları belirlenen arayüzden almasını sağlar.
config)# ntp broadcastdelay [microseconds]
Broadcast mesajlarının hangi aralıklarla gönderileceği belirlenir.
-if)#ntp disable
İstenilen arayüzde NTP paketlerinin alınması iptal edilir.
NOT: Public NTP Sunucularının listesi http://support.ntp.org/bin/view/Servers/WebHome.
National of Standards and Technology (NIST)—time‐nw‐nist‐gow (131.107.1.10)
İzleme ve Sorun Giderme
#show clock
#show calendar
#show ntp status
#show ntp associations [detail]
#debug ntp [adjust | core | events ]
Kaynak: Erdem TUNCAY. CCNA Security Eğitimi-Eylül 2011-Ankara
Yorumlar
Yorum Gönder