NTP neden UDP bağlantı noktası 123'e çift yönlü güvenlik duvarı erişimi gerektirir?

17

Kimden ntp izin iptables kuralları nelerdir? :

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

Ayrıca, NTP web sitesinden :

... ntpd, ayrıcalıklı UDP bağlantı noktası 123'e tam çift yönlü erişim gerektirir. ...

Sorum şu, neden? NTP'ye aşina olmayan birine, özellikle de bir müşterimden güvenlik duvarında bu bağlantı noktasını açmasını istediğimde, sunucularımın zamanlarını senkronize tutabilmeleri için potansiyel bir güvenlik deliği gibi görünüyor. Güvenlik duvarında bu erişime ihtiyacım olduğuna ikna etmek için müşterime verebileceğim iyi bir gerekçe var mı? Yardım takdir! :)

linux  firewall  ntp 
DuffJ
kaynak
2
"İlgili / kurulmuş izin ver" bölümünü okudunuz mu? Bu kural varsa, UDP bağlantı noktası 123 için genel bir giriş kuralına gerek yoktur.
VMai
1
Bu gerçekten potansiyel bir güvenlik açığı mı? Bu anlamsız olduğunu düşündüğüm sık sık tekrarlanan bir ifade. 2014, 1024'ten daha az bağlantı noktalarını özel özelliklerle doldurmama ve açıkça gerekli olmayan tüm trafiği engellememe zamanı. İnternetteki belirli bilgisayarlardan bir makineye bir port açıyorsunuz.
dfc
Katılıyorum, bu gerçekten potansiyel bir güvenlik açığı değil, ama finans sektöründe çalışıyorum ve insanlar "bir şeylerin geçmesi" durumunda güvenlik duvarları açmak konusunda her zaman gerginler. Her zaman iyi bir gerekçe elde etmeye değer, artı yanıtı kendim merak ediyorum - bir zaman sunucusunda ntpd aslında zaman güncellemeleri göndermek için müşterilerine giden bağlantılar yapıyor mu? Kulağa tuhaf geliyor ve özellikle ölçeklenebilir değil.
DuffJ
Bunu birkaç gün önce googledim, gelen bir bağlantı olmadan yönetebilir.
barlop
@VMai üzerinde söyledi kişinin superuser.com/questions/141772/... hiçbir örnek verdi, ama o paketlerin içlerinde geliyor, giden bağlantıları etkinleştirmek gerekiyordu düşünüyorum. Bu "ntpd'nin, gelen bir bağlantıya benzeyen ayrıcalıklı UDP bağlantı noktası 123'e tam çift yönlü erişim gerektirdiği konseptinden farklıdır. İlgili / yerleşik kullanarak gelen ve gidenlere izin vermek isterse 4 kurala ihtiyacı olacaktır. Gelen bağlantılar için 2, giden bağlantılar için 2.
barlop

Yanıtlar:

10

Yalnızca sunucu olarak davranıyorsanız gelen istemcilerin NTP bağlantı noktalarına izin vermeniz ve istemcilerin sizinle senkronize olmasına izin vermeniz gerekir.

Aksi takdirde, bir NTP durumunun varlığı, gelen NTP paketinin başlattığımız mevcut bir güvenlik duvarı durumu tarafından engellenip engellenmediğini veya izin verilip verilmediğini otomatik olarak belirler.

iptables -A ÇIKIŞ -p udp --spor 123 --dport 123 -j KABUL

iptables -A INPUT -m durumu --stat KURULDU, İLGİLİ -j KABUL

Lütfen iptables kurallarının uygun olup olmadığını bana bildirin. Iptables ile hiçbir deneyimim yok. NTP istemcim pfSense yönlendiricimde yalnızca giden bir izin kuralıyla senkronize halde kalıyor çünkü pfSense durum bilgisi olan bir güvenlik duvarı.

Ben Cook
kaynak
1
Bu mantıklı görünüyor! Ne yazık ki artık cevabınızın doğruluğunu onaylayacak bir pozisyonda değilim; ancak bunu kabul edeceğim çünkü mantıklı görünüyor. Çok teşekkürler!
DuffJ
1

NTP RFC , istemcinin kaynak bağlantı noktası ile ilgili olarak aşağıdakileri belirttiği için NTP , 123 numaralı bağlantı noktasında iki yönlü erişim gerektirir :

Simetrik modlarda (1 ve 2) çalışırken, bu alan IANA tarafından atanan NTP port numarasını PORT (123) içermelidir.

İstemcinin kaynak bağlantı noktası 123 olduğundan, sunucu yanıtı geri gönderdiğinde 123 numaralı bağlantı noktasına gönderir. Doğal olarak, bu yanıtı alabilmek için istemci bağlantı noktası 123'e gelen yanıtlara izin vermelidir. Normalde yanıtlar geri gelir bazı geçici liman aralığında.

As Ben Cook yukarıda belirtilen bir firewall yanıtı açık bir kural olmadan gelme olanağı sağlayacak bir vatansız güvenlik duvarı ile uğraşırken, bu sadece gereklidir.

Gurpreet Atwal
kaynak
0

En iyi çözüm, yalnızca 123 sunucunuza ntp sinyali vermek için beklenen IP adresleri için bağlantı noktası 123, etkinleştirmek olduğunu düşünüyorum.
Ntp yapılandırma dosyasının (/etc/ntp.conf) içinde, sunucunuzun işaret etmesi gereken birkaç ntp sunucusunun adresi vardır. Her adres için karşılık gelen ipi bulmak için arama komutunu kullanabilirsiniz.

host -t a 0.debian.pool.ntp.org

Ardından kuralı sunucu güvenlik duvarına ekleyebilirsiniz:

iptables -I INPUT -p udp -s 94.177.187.22 -j ACCEPT

... vb.
Bu, kötü niyetli kişilerin sunucunuza zarar vermesini engelleyebilir.
Bence çıktıyı kısıtlamanın bir faydası yok.

Leonardo Gugliotti
kaynak
-1

ntp sunucu-sunucu iletişimi, kaynak ve hedef bağlantı noktası 123'tür. En azından bir ntp hizmeti çalıştırdığınız ana bilgisayarlara açıkça izin vermek en uygun yöntemdir.

Dış kaynaklardan zaman almak için yalnızca harici bir ana bilgisayarı Internet'e göstermeyi düşünebilirsiniz. Buna senkronize edilen dahili bir ntp servisi tüm cihazlar için kaynak olabilir. Bu ana bilgisayarlar amaca adanmışsa olası maruz kalma sınırlıdır: yalnızca ntp trafiğini kabul eder ve diğer verileri depolamaz.

Alternatif olarak, harici bir IP ağı kullanmayın. Örneğin, GPS gibi bir radyo kaynağı kullanın.

http://www.diablotin.com/librairie/networking/firewall/ch08_13.htm http://support.ntp.org/bin/view/Support/Tro Sorun GidermeNTP

John Mahowald
kaynak
1
Bu cevap için teşekkürler, ama soruya cevap vermiyor. Sistem yöneticisiysem ve dahili NTP hizmetini kurabilmem için güvenlik duvarımı açmak istersem ne olur? NTP için hâlâ hiç kimse iki yönlü erişimin (tek yönlü erişimden çok daha tehlikeli) gerekli olduğu konusunda hiçbir fikre sahip görünmüyor.
DuffJ
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.