记录犯罪证据用NTP保护安全日志时间

2008-04-09 04:08:42来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

  网络安全问题涉及到很多方面,比方说,安全问题发生的时间对于我们分析问题和解决问题就有着重要的意义。本文将从安全日志的角度看一下如何采取措施实现网络设备时间的同步。

  网络时间协议

  网络时间协议(NTP)是一种通过因特网服务于计算机时钟的时间同步协议。它提供了一种同步时间机制,能在庞大而复杂多样的因特网中用光速调整时间分配。

  另一方面,企业采取措施保障其网络和设备的时间同步是至关重要的。因此,很多企业使用网络时间协议。这个协议设计的目的是为了使网络中的计算机保持时钟的同步,并且已经使用了很长时间了。

  然而,如果涉及到网络中的安全设备的话,这种同步就具有更加重大的意义。这些安全设备生成的日志反映正确的时间非常重要。当用户的网络正处理海量的数据,如果时间不正确或不匹配的话,将日志文件与不同的源地址关联起来是不太可能的。

  如果日志文件与之不协调,用户的安全关联工具就会毫无意义。一个非同步的网络意味着花费大量的时间手动跟踪各种安全事件。下面我们讨论如何保持网络同步,并确保安全日志显示正确的时间。

  找到时间

  网络时间协议项目(www.ntp.org)保持着大量的公共和私有的时间源列表。如果用户的公司没有一个内部的时间源,使用户的网络保持同步的话,可以参考这个列表。使用这个列表,用户可以发现用户所在地理区域内的首要和次要的时间服务器。

  协调时间

  下一步就是使网络的时间保持同步。从所有的网络设备中,选择两个能够从外部世界接收时间的路由器,并将时间发布到网络的剩余设备。这两种路由器通常位于网络的边缘,并且与Internet直接连接。

  下面看一个例子。我们将详细描述确定两个思科路由器的网络时间协议服务器的必要步骤,并更新其软件时钟。

  在找到用户所在地理区域内的时间源后,以超级用户的身份登录到路由器。然后,执行如下的命令:

Router# Config terminal  
Router(config)# ntp server TimeServerOne prefer  
Router(config)# ntp server TimeServerTwo  
Router(config)# ntp update-calendar

  这些命令设置TimeServerOne (用户应该用所选的时间服务器的IP地址代替这里的TimeServerOne)为原始(首要)的时间服务器。当然,用户应该用第二时间服务器的IP地址代替这里的TimeServerTwo。update-calendar 命令配置路由器,用以从软件时钟更新其硬件时钟。下一步,配置其余网络设备使其从这些路由器获得时间。下面举一个例子:

Router# Config terminal  
Router(config)# ntp server RouterOne  
Router(config)# ntp server RouterTwo  
Router(config)# ntp update-calendar

  让时间安全地为用户服务

  默认情况下,除非用户发布第一个NTP命令,所有的接口都禁用NTP服务。为了确保安全,防止设备接收或传输NTP数据包是一个很好的主意─我想用户并不想成为整个互联网的(同步)定时源。

  用户可以通过在接口配置(Interface Configuration)命令中执行如下的命令来为一个特定的端口禁用NTP服务:

Router(config-if)# ntp disable

  结束语

  安全问题发生的时间可能意味着更深入的其它问题。如果用户的安全日志在诉讼案件中成为证据,能够提供安全问题如何在用户的网络中一步一步地发生、发展是非常重要的─用户需要用一种可理解的、非技术性的方法来完成此事。时间也许是法官可以理解的非常关键的一个方面。从一定意义上讲,能否保持网络的同步意味着有罪和无罪的区别。这是用户为其网络设置一个可靠的时间源的另一个重要原因。

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:小心防范网络盗贼三板斧的侵袭

下一篇:太平洋电脑网遭黑客攻击?原来电信故障!