ICT보안실무_NTP

## NTP(Network Time Protocol) ##

 

-시간 동기화 Protocol. UDP 포트 123

-Cisco Device에서 다음과 같이 수동으로 시간을

 변경하는 것이 가능하다.

  => [SW# Clock set 09:31:22 MAY 2017]

  => 한가지 주의점은 Configuration모드가 아니고

        Privileged 모드(#)에서 명령어를 입력한다.

 

- 각 Device마다 시간을 수동으로 설정하는 경우

  오차가 발생할 수 밖에 없고, 결과적으로 로그

  분석, 장애 처리 등에 문제가 발생할 수 있다.

 

- 위와 같은 문제를 해결하기 위해서는 모든 Device가

 공통된 Time Server에게 NTP를 사용하여 시간을

 동기화 받아야 한다.

 

------------------------------------------------------------------------------------------------------------------------

<CE>

conf t

ip name-server 10.10.250.2

ip domain lookup

 => 설 정 후 [ping www.ictsec.com ]으로 Domain lookup에

       테스트를 수행.

 => Cisco Device에서 DNS Cache를 확인하는 명령어는

       [show host], DNS Cache를 삭제하는 명령어는

       [clear host *].

 

ntp server time1.daum.net version 2 prefer

ntp server time2.daum.net version 2

 

clock timezone KOR +9

 

- verify -

show ntp staus

show ntp associations

 

- 모든 Device가 직접 외부 Internet 망에 위치한

  Time Server에게 시간을 동기화 받는 것은 시간의

  통일성과 불필요한 트래픽의 증가하는 부분에서

  효율적이지 못하다.

 

- 해당 조직 내부에 NTP서버를 구축하여 해당 NTP서버로

  부터 시간을 동기화받는 것이 효율적이다.

  window 서버, Linux 서버 외에도 Cisco Router도

 NTP 서버로 동작이 가능하다.

 

<CE - NTP 서버 구성>

conf t

int lo 0

ip add 10.10.240.1 255.255.255.0

!

router ospf 1

net 10.10.240.1 0.0.0.0 area 0

!

ntp master 3 -> 이것만줘도 ntp서버가 된다.

ntp source loopback 0 -> 루프백 0번으로 ntp 서버로 둔다~! 죽지않는 인터페이스이기떄문.

 

ntp authenticate

ntp authentication-key 1 md5 ccie321

ntp trusted-key 1

 

=> 인증 옵션, 현재 3660 라우터에서 명령어는 입력되지만

     실제 인증키를 확인하지는 않는다.

 

 

**CE에서 ntp동기화 받기**

<DSW1/DSW2/ASW1/ASW2/S_SW>

conf t

ntp server 10.10.240.1 version 2

clock timezone KOR +9

 

 

- verify -

do sh ntp status

do sh run | includes ntp

 

=> 설정후 DSW1/DSW2의 경우 CE에게 시간을 정상적

    으로 동기화받는다. 하지만 ASW1/ASW2/S_SW의 경우

    시간을 동기화 받지 못하고 있다. 이유는?

 

   L2 Switch역할을 하는 장비들에게 IP 주소와 Gateway를

   할당하지 않았기 때문이다.

 

<ASW1/ASW2/DSW1/DSW2>

conf t

vlan 230

name Admin

exit

 

int range port-channel 1 - 2

switchport trunk allowed vlan add 230

!

 

<ASW1>

int vlan 230

ip add 10.10.230.1 255.255.255.0

!

no ip routing

ip default-gateway 10.10.230.253

 

<ASW2>

int vlan 230

ip add 10.10.230.2 255.255.255.0

!

no ip routing

ip default-gateway 10.10.230.253

 

<DSW1>

int vlan 230

ip add 10.10.230.252 255.255.255.0

standby 230 ip 10.10.230.254

standby 230 preempt

!

router ospf 1

net 10.10.230.252 0.0.0.0 area 0

!

 

<DSW2>

int vlan 230

ip add 10.10.230.253 255.255.255.0

standby 230 ip 10.10.230.254

standby 230 priority 110

standby 230 track fa 1/0 50

standby 230 preempt delay minimum 30

!

router ospf 1

net 10.10.230.253 0.0.0.0 area 0

!

 

<S_SW>

int vlan 30

ip add 10.10.250.250 255.255.255.0

!

ip default-gateway 10.10.250.252

 

------------------------------------------------------------------------------------------------------------------------

- 기본적으로 cisco device에서 log와 Debug 메시지가

  발생되는 경우 다음과 같은 Timestamp가 붙는다.

 

May 22 2017 12:44:13.457 KOR: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback1, changed state to up

 

-> 현재 국내 시간이 아닌 것은 default timestamp

   서비스 설정이 다음과 같기 때문이다.

 

service timestamps debug datatime msec

service timestamps log datatime msec

 

=> 관리자가 필요에 따라 timestamp 형식을 다음과

  같은 명령어로 변경이 가능하다.

 

service timestamps log datetime localtime show-timezone year msec