Fase extra NTP

Formao para Sistemas Autnomos


O que o NTPe como utilizar o

NTP.br


Licena de uso do materialEsta apresentao est disponvel sob a licena

Creative CommonsAtribuio No a Obras Derivadas (by-nd)http://creativecommons.org/licenses/by-nd/3.0/br/legalcode

Voc pode: Compartilhar copiar, distribuir e transmitir a obra. Fazer uso comercial da obra. Sob as seguintes condies:

Atribuio Ao distribuir essa apresentao, voc deve deixar claro que ela faz parte do Curso de Formao para Sistemas Autnomos do CEPTRO.br/NIC.br, e que os originais podem ser obtidos em http://ceptro.br. Voc deve fazer isso sem sugerir que ns damos algum aval sua instituio, empresa, site ou curso.Vedada a criao de obras derivadas Voc no pode modificar essa apresentao, nem criar apresentaes ou outras obras baseadas nela..

Se tiver dvidas, ou quiser obter permisso para utilizar o material de outra forma, entre em contato pelo e-mail: [email protected].


Recomendao do CGI.brCGI.br/RES/2008/009/P Recomendao para a Sincronizao de relgios via NTPO Comit Gestor da Internet no Brasil CGI.br, no exerccio de suas atribuies e considerando que a sincronizao, com fontes de tempo confiveis dos relgios dos computadores e outros equipamentos interligados Internet, essencial para: o correto funcionamento de sistemas e redes; o apoio a processos de deteco de incidentes de segurana e seu tratamento adequado, permitindo a correlao de

eventos; a documentao e preservao de evidncias que possam vir a ser utilizadas em investigaes de crimes de informtica.

Recomenda : Sincronizar, com a Horal Legal Brasileira, todos os dispositivos de rede e servidores conectados Internet no Brasil, de

forma continuada, utilizando-se de programas de computador apropriados e fontes de tempo confiveis. Sempre que possvel e apropriado, sincronizar, com a Hora legal Brasileira, estaes de trabalho conectadas Internet no

Brasil, de forma continuada, utilizando-se de programas de computador apropriados e fontes de tempo confiveis. Estabelecer procedimentos de ajuste do tempo ao fuso horrio local e ao horrio de vero, quando necessrios. Gerar registro de eventos (logs) pertinentes, de forma a manter informaes inequvocas sobre o fuso horrio em que se deu

um evento. Utilizar, preferencialmente, o protocolo NTP (Network Time Protocol), conforme padres de referncia e instrues presentes

na pgina Web do Projeto NTP do NIC.br - http://ntp.br/. Utilizar, preferencialmente, os servidores de tempo implantados pelo NIC.br, atravs do projeto NTP.br, como referncias de

tempo, conforme instrues e recomendaes presentes em sua pgina Web - http://ntp.br/ .


O que o tempo? Para fins prticos:

O intervalo entre dois eventos O momento indicado por um relgio

O tempo medido em segundos: Historicamente, 1/86400 do dia solar mdio Em 1954: 1/31.556.925,9747 do tempo que a Terra levou

pra girar em torno do Sol desde as 12h de 04/01/1900 Em 1967: 9.192.631.770 perodos da radiao

correspondente transio entre dois nveis hiperfinos do estado fundamental do tomo de csio 133


Relgios e escalas de tempo Todo relgio tem:

Um oscilador Um contador Um dispositivo de visualizao

Escalas de tempo TAI (Tempo Atmico Internacional)

Relgios de Csio dos laboratrios metrolgicos de todo o mundo UTC (Universal Time Coordinated)

Disciplinado pelo Sol / Leapseconds GPS

UTC em 1980 Tempo Local

Fusos horrios / Decreto 6558 de 2008 institui regras fixas para o Brasil


Jargo do NTP Monotonicidade

O tempo s anda pra frente Exatido (acurcia)

O quanto um relgio est prximo a uma determinada referncia Preciso, Resoluo ou Granularidade

O menor intervalo de tempo que um relgio consegue medir Sincronizao

Garantir que um relgio est em fase com uma referncia Sintonizao

Garantir que um relgio tem a mesma frequncia que uma referncia


Importncia

So sensveis ao relgio: Sistemas de distribuio de contedo Sistemas de arquivos Agendadores de eventos Criptografia Protocolos de comunicao Sistemas transacionais

Coerncia dos Logs


O NTP e os fusos horrios

O NTP trabalha sempre em UTC Os sistemas operacionais gerenciam os fusos

horrios e mudanas por conta do horrio de vero O que usar nos logs? UTC? UTC-3? Mudar com horrio de vero? Se possvel, use UTC.


Topologia Hierrquica do NTP


Protocolo de rede e algoritmos


Clculo do offset T-ida = T-volta RTT = (b-a) (y-x) Offset = (x-a+y-b)/2


Pontos de ateno

Para ser confivel, o NTP precisa de vrias referncias de tempo, de 4 a 7

As consultas aos servidores so realizadas Inicialmente a cada 64s Em regime, a cada 16min

Pacotes UDP, porta 123 Sensvel assimetria na rede Melhor usar NTP que SNTP


O site ntp.br

Referncia sobre NTP em portugus Exemplos de configurao


O servio NTP.br

Parceria entre ON e NIC.br ON fornece a Hora Legal Brasileira Referncias de Csio:

So Paulo (NIC.br), Rio de Janeiro (ON e Level 3), Braslia (STF)

NIC.br prov servidores Internet a.st1.ntp.br, b.st1.ntp.br, c.st1.ntp.br, d.st1.ntp.br a.ntp.br, b.ntp.br c.ntp.br gps.ntp.br


Boas e ms prticas Boas prticas

Utilizar ntpd Implementao de

referncia do David Mills Utilizar alternativas como

Openntpd Chrony

Utilizar mltiplos servidores como referncia

Ms prticas No sincronizar o tempo Utilizar ntpdate no cron Utilizar apenas uma ou

duas referncias de tempo


Configurao para ntpddriftfile /etc/ntp.drift

statsdir /var/log/ntpstats/statistics loopstats peerstats filegen loopstats file loopstats type day enablefilegen peerstats file peerstats type day enable

server a.st1.ntp.br iburstserver b.st1.ntp.br iburstserver c.st1.ntp.br iburstserver d.st1.ntp.br iburstserver gps.ntp.br iburstserver a.ntp.br iburstserver b.ntp.br iburstserver c.ntp.br iburst

restrict default notrap nomodify nopeer


Configurao para Ciscontp server 200.160.0.8ntp server 200.189.40.8ntp server 200.192.232.8Deve-se desabilitar o servio nas interfaces em que no usado:interface Eth1 ntp disableE indicar interface que ser usada para o ntpntp source Eth0Para verificar o funcionamento:show ntp statusshow ntp associations


Configurao para Mikrotik

/system ntp client set enabled=yes mode=unicast primary-ntp=200.160.0.8 secondary-ntp=200.189.40.8

/system ntp server set enabled=yes broadcast=no multicast=no manycast=no


Configurao para Juniper[edit system ntp] boot-server 200.160.0.8; server 200.160.0.8; server 200.189.40.8; server 200.192.232.8;

Para verificar o funcionamento:show ntp statusshow ntp associations


Dvidas?

Documents

Fase extra NTP