úterý 8. května 2012

Incident odezvy bez NTP


I když jsme trpělivě čekají na příjezd tento měsíc záplat od společnosti Microsoft (a všichni ostatní, kteří dnes zveřejnila) Mám malý myšlenkový experiment pro vás. Všichni víme, že internet nefunguje příliš efektivně, pokud DNS nefunguje nebo dar. NTP je stejně důležitá pro zabezpečení infrastruktury. Bez spolehlivé synchronizaci hodin, může Sestavujeme společně, co se stalo během incidentu se extrémně obtížné.
Představme si hypotetickou síť služeb a DMZ: je externí firewall, pár webových serverů, vnitřní brány firewall s databázovým serverem za ním. Podívejme se také předpokládat, že se něco špatného přihodilo webové servery před pár měsíci a vy jste byl předložen jako konzultant dát dohromady pořadí událostí a zjistit, co útočník udělal. Web Administration tým a databáze tým a firewall tým veškeré poskytnuté vaši žádost o protokolech a máte na vašem systému výběru.

Více o NTP

Pro kompletní zázemí pro NTP Doporučuji:http://www.ntp.org/ntpfaq~~dobj
Existují dva hlavní typy hodin chyby, že jsme se zabývají v tomto příkladu:
  • Posunuté   také volal přesnost, určuje, jak blízko hodiny do oficiálního času odkazu.
  • Hodiny Drift , nebo změna v přesnosti v čase.
Společný hodiny hardware není příliš přesné, chyba 0,001% způsobí, že hodiny pryč téměř jedné sekundy za den. Můžeme očekávat, že většina hodiny na jednu sekundu unášení každé 2 dny. Oscilátor používá v počítačových hodin může být ovlivněna změnami v místní teploty a kvality elektrické energie krmení systému.

Dnešní výzva

Jak se vám začít pořadí události mezi systémy? Nejprve budu vyžadovat obecné přístupy prostřednictvím komentářů a e-mail, později jsem si shrnout a poskytnout některé údaje příklad pro ilustraci nejoblíbenější / slibné přístupy.

Žádné komentáře:

Okomentovat