[GTER] [ims at on.br: ntp.on.br: um ano de atraso]

Frederico A C Neves fneves at registro.br
Fri Jan 23 09:21:52 -02 2004


Senhores,

Repasso mensagem envia pelo ON que não chegou a lista. O RTF está
convertido para txt em anexo. Os logs foram suprimidos devido ao
tamanho.

Fred
-------------- next part --------------
INTRODUÇÃO

Coincidência ou não, hoje meu primeiro dia de férias, um dos nossos
servidores de sincronismo que atende ao público em geral, aberto para todos, 
no endereço 200.20.186.75, foi "atacado", e de alguma forma o ano foi alterado.
 
Esta máquina é dedicada, rodando o NTP v4, com Red Hat Linux 7.1 2.96-79
#1 Sun Apr 8 20:41:30 EDT 2001

Este endereço do ON corresponde ao ntp.on.br
 
CONSTATAÇÃO

Ainda hoje pela manhã tentei entrar em contato com os responsáveis pelo IP
que supostamente causou tal problema,  200.186.217.130
Este endereço corresponde à "imp130.pbh.gov.br", e aparece acessando o 
servidor cerca de 20 a 40 vezes por segundo, conforme registrado no log 
do ipchains. 

EVIDÊNCIA

Anexei a este email um o arquivo de log "messages18_22.txt", gerado pelo ipchains rodando no 
200.20.186.75, aonde se pode constatar o acesso anormal desde o dia 18, quando naquela data 
já haviamos reinicializado o sincronizador em 200.20.186.75.
Hoje de manhã ele foi reinicializado novamente e o ano que consta no log está correto.
Neste log as hora estão em UTC.
No dia 18 quando constatamos o problema fizemos uma regra no ipchains, mas aparentemente 
não resolveu. Naquela data ele foi reinicializado da mesma forma que hoje sem problemas.

AÇÃO

De casa mesmo, pela manhã, liguei para a Prefeitura de Belo Horizonte e tentei falar com o responsável.
Não consegui, e a maratona pelo telefone foi a seguinte: 

Assessoria de Comunicação PRODABEL Av. Presidente Carlos Luz, 1275 - Caiçara 

Por volta das 11:30 da manhã

31 3277-8346 - Sra. Raquel que informou que o Sr.Marcio Freire e o Sr. Paulo Guedes 
estavam em reunião. Ensisti e ele me passou para o Sr. Tiago que apos ouvir eu repetir de novo 
o que já havia falado para a Sra. Raquel, pediu tambem que eu falasse 
com o Sr. Marcio Freire, no 31 3277-8407, para onde eu liguei e fui informado novamente 
que ele continuava em reunião.
Enfim não consegui nada. 

O servidor foi reinicializado agora à noite, 23:00, com sucesso.

CRÍTICA E ELOGIO

Cabe ressaltar que o atendimento a reclamações de ataques ou supostos ataques não é bom.
Até hoje a única resposta à este tipo de reclamação que volta e meio fazemos a diversos locais 
foi por parte da Sra. Marita Maestrelli. Foi um ótimo atendimento.

COMITE GESTOR

Conforme observado pelo Sr. Frederico A C Neves, do Registro.br, o servidor ntp.on.br
não tem nada a ver com o servidor implantado pelo CG. 
O servidor do CG nunca teve este tipo de problema. É um equipamento especial, do 
mesmo tipo utilizado pela ReSinc/HLB.

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
/////////////////  email do Sr. Frederico //////////////////////////////////////////////////////////////////
/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Thu, 22 Jan 2004 14:29:34 -0200 
De:  Frederico A C Neves <fneves at registro.br> 
Para:  Grupo de Trabalho de Engenharia e Operacao de Redes <gter at eng.registro.br> 
Cc:  "dsh at on.br" <dsh at on.br> 
Assunto:  Re: [GTER] ntp.on.br: um ano de atraso 

Senhores,

Atenção, esta não é a interface implantada pelo CG. O servidor NTP
implantado pelo CG é NTP.NIC.BR e tudo indica que o mesmo está
funcionando corretamente.

Fred

> ntpdate -q ntp.nic.br
server 200.20.186.93, stratum 1, offset 0.040378, delay 0.06709
22 Jan 14:17:40 ntpdate[3815]: adjust time server 200.20.186.93 offset
0.040378 sec

> ntpq -pn registro.br
remote                    refid                 st    t  when   poll  reach    delay       offset      jitter
==============================================================================
127.127.1.0          127.127.1.0       1   0   l 25      64   377      0.000       0.000    0.001
*200.20.186.93    .IRIG.                1   u   501  1024   375    45.195       4.925    4.934
+143.108.22.7     200.20.186.93    2   u  552   1024  377       1.508       -1.420   2.365
+192.5.41.40      .USNO.               1   u  553   1024  377   233.029      24.877   1.563
-204.152.184.72  204.152.185.13  2   u  553  1024   377    206.681     -8.252    1.209
-143.108.30.3     10.0.0.7               3   u  520  1024   377       1.611      -5.987    0.771
200.135.0.3         200.19.119.69    2    u  331  1024    36    126.558   -40.519   15.309

On Wed, Jan 22, 2003 at 11:17:14AM -0200, Alexandre Hautequest wrote:
> Senhores,
> 
> O relógio do ntp.on.br está com um ano de atraso.
> 
> Aos que utilizam o serviço de ajuste de clock automático por este sítio, 
> aguardemos ajuste dos servidores master.
> 
> A mensagem está sendo postada também para o email de contato do 
> Observatório Nacional.
> 
> Aguardamos retorno.
> 
> Cordialmente,
> 
> root at hquest:~# date
> Thu Jan 22 11:10:55 BRST 2004
> root at hquest:~# ntpdate ntp.on.br
> 22 Jan 11:11:19 ntpdate[31093]: step time server 200.20.186.75 offset 
> -31536000.012300 sec
> root at hquest:~# date
> Wed Jan 22 11:11:04 BRST 2003
> 
> -- 
> Alexandre Hautequest
////////////////////////////////////////////////////////////////////////////////////////////////////////////////
///////////////  Fim do email do Sr. Frederico //////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////

RECOMENDAÇÃO 

O servidor no endereço 200.20.186.75 é de uso geral, aberto ao público.
Desde sua implantação a cerca de tres anos atras, este foi o ataque mais 
serio que ocorreu. 

Uma solução seria fecha-lo e ir abrindo seletivamente, o que já foi feito anteriormente. 

A questão é que quem não tem IP fixo fica sem acesso.

Aplicações mais críticas devem utilizar a ReSinc/HLB, que não está sujeita 
a estes contratempos. Tal serviço utiliza equipamentos especias e o protocolo
ACTS. 



Ivan M. Silva
DSH/ON 







More information about the gter mailing list