2022. 10. 28. 16:58ㆍ네트워크
NTP(Network Time Protocol)
- 시간 동기화할 때 사용하는 프로토콜
- 협정세계시(UTC) 사용
- UDP 123번 포트 사용
- NTP 클라이언트들의 시간을 NTP 서버와 동기화 시킬때 유니캐스트, 브로드캐스트, 멀티캐스트 사용
- https://www.ntppool.org/zone/kr 한국 NTP 서버들에 대한 정보를 제공
시간 동기화의 목적 - 서버와 클라이언트의 시간이 일치하지 않을 경우
- 로그의 신뢰성 하락, 정확한 시간대에 발생한 로그 분석을 할 수 없음
- 부팅, 백업과 같은 예약 작업들이 실행되지 않을 수도 있음
- 인증 불가, 암호화 인증 프로토콜 과정 시 timestamp 및 lifetime이 추가
환경설정
splunkserver(ubuntu) : NTP 서버 : 192.168.10.10
zeekIDS(ubuntu) : NTP 클라이언트 : 192.168.10.20
WebServer(CentOS 8) : NTP 클라이언트 : 192.168.10.30
Sysmon(Window 10) : NTP 클라이언트 : 192.168.10.40
1. splunkserver(ubuntu) : NTP 서버 설치
1.1 NTP 서버 설정 파일 수정
기존 설정은 주석 처리 후 https://www.ntppool.org/zone/kr 한국 NTP 서버를 추가로 등록
수정후 재시작
1.2 UDP 123번 포트 개방
NTP 클라이언트가 NTP 서버에 액세스 할 수 있도록 UDP 123번 포트 개방
'ufw allow from <허용 주소> to <protocol> port <port number> proto <protocol name>'
1.3 현재 사용중인 NTP 서버 출력
remote
* : 현재 동기화하고 있는 NTP 서버 IP
+ : 동기화는 가능하지만 동기화하지 않고 있는 secondary NTP 서버 IP
현재 동기화하고 있는 NTP 서버가 다운되면 사용 가능한 NTP 서버 IP
- : 접속은 가능하지만 리스트에서 제외된 NTP 서버 IP
공백 : 접속이 불가능한 NTP 서버 IP
refid
remote가 사용하고 있는 NTP 서버 IP
st(stratum)
현재 서버와 나 사이의 거리
1.4 현재 날짜, 시간, 타임존, NTP 서버와의 동기화 여부 확인
2. zeekIDS(ubuntu) : NTP 클라이언트 설치
2.1. NTP 서버(splunkserver) 도메인 등록
2.2. NTP 서버와 동기화
2.3 NTP 서버와의 동기화 여부 확인
active : NTP 서버와 동기화 중
3. WebServer(CentOS 8) : NTP 클라이언트 설치
Redhat 계열 리눅스 NTP 클라이언트 : chrony
추가 설치 필요 없이 기본 설치되어 있음
3.1 NTP 서버(splunkserver) 도메인 등록
3.2 NTP 서버와 동기화
NTP 클라이언트 설정 파일인 /etc/chrony.conf에 NTP 서버 등록
iburst : NTP 서버에 대량의 질의를 보내는 옵션으로 좀더 빠른 응답을 받기 위해 사용
수정후 재시작
3.3 현재 동기화된 NTP 서버 확인
우분투의 ntpq -p와 동일한 명령어
3.4 NTP 서버와의 동기화 여부 확인
4. Sysmon(Window 10) : NTP 클라이언트 설치
윈도우는 별도로 설치 할 필요 없이 제어판 - 시계 및 국가 - 날짜 및 시간 - 인터넷 시간 - 설정 변경에 NTP 서버를 입력
4.1 NTP 서버(splunkserver) 도메인 등록
4.2 NTP 서버와 동기화
4.3 NTP 서버와의 동기화 여부 확인
3개의 클라이언트 모두 성공적으로 NTP 서버와 동기화 된것을 확인 할 수 있습니다.