{"id":86138,"date":"2022-10-24T20:00:22","date_gmt":"2022-10-24T19:00:22","guid":{"rendered":"https:\/\/www.avanet.com\/kb\/configurar-sophos-firewall-como-servidor-ntp\/"},"modified":"2022-11-08T10:42:27","modified_gmt":"2022-11-08T09:42:27","slug":"configurar-sophos-firewall-como-servidor-ntp","status":"publish","type":"kb","link":"https:\/\/www.avanet.com\/es\/kb\/configurar-sophos-firewall-como-servidor-ntp\/","title":{"rendered":"Configurar Sophos Firewall como servidor NTP"},"content":{"rendered":"\n

Hay que admitir que el t\u00edtulo es estrictamente err\u00f3neo, ya que no hay ning\u00fan servicio NTP funcionando en el Sophos Firewall.\nSin embargo, esto puede resolverse con una regla de NAT para que el Sophos Firewall se encargue de todas las solicitudes de NTP y la IP de la puerta de enlace pueda seguir especific\u00e1ndose como servidor NTP en el cliente o servidor. <\/p>\n\n

Crear regla NAT NTP<\/h2>\n\n

Primero, creo una regla NAT que se encarga del protocolo NTP.<\/p>\n\n

\n
\"\"<\/a><\/figure>\n<\/figure>\n\n

La regla NAT define ahora para qu\u00e9 redes locales debe responder el Sophos Firewall a las peticiones NTP.<\/p>\n\n

\n
\"\"<\/a><\/figure>\n<\/figure>\n\n

1. Original Source<\/h3>\n\n

Aqu\u00ed se introducen las redes o direcciones IP individuales que deben utilizar esta regla NAT.\nPor ejemplo, 192.168.33.0\/24 o CUALQUIERA, si se deben considerar todas las solicitudes. <\/p>\n\n

2. Original Destination<\/h3>\n\n

Aqu\u00ed se enumeran todas las direcciones IP que el Sophos Firewall debe escuchar.\nPor ejemplo, la direcci\u00f3n de la puerta de enlace: 192.168.12.1 o CUALQUIERA, si se deben considerar todas las solicitudes. <\/p>\n\n

3. Original Service<\/h3>\n\n

Se especifica NTP<\/strong> como protocolo, que ya es un servicio predefinido en el cortafuegos.<\/p>\n\n

4. Translated Source (SNAT)<\/h3>\n\n

El cortafuegos debe realizar el enmascaramiento de IP y, por lo tanto, seleccionamos MASQ<\/strong> como valor aqu\u00ed.<\/p>\n\n

5. Translated destination (DNAT)<\/h3>\n\n

Aqu\u00ed introducimos la direcci\u00f3n del servidor NTP al que el cortafuegos debe enviar todas las peticiones de hora.\nYo uso el FQDN time.google.com<\/strong> aqu\u00ed o pool.ntp.org<\/strong> tambi\u00e9n es popular. <\/p>\n\n

Inbound Interface<\/h3>\n\n

Adem\u00e1s, tambi\u00e9n puede almacenar las interfaces locales, por ejemplo, para estar seguro de no responder a ninguna solicitud de la WAN.\nLo dejo en ANY y lo resuelvo despu\u00e9s a trav\u00e9s de la regla del firewall. <\/p>\n\n

Regla del cortafuegos para el servicio NTP<\/h2>\n\n

Para permitir el tr\u00e1fico de la regla NAT, se necesita una regla de firewall, que se crea ahora.<\/p>\n\n

\n
\"\"<\/a><\/figure>\n
Regla de Sophos Firewall para el tr\u00e1fico del servidor NTP<\/figcaption><\/figure>\n\n

1. Source Zones<\/h3>\n\n

Aqu\u00ed se enumeran todas las zonas de origen, como la LAN.<\/strong>\nLo que no queremos ver aqu\u00ed es la zona WAN<\/strong>, ya que no queremos proporcionar un servidor NTP para Internet aqu\u00ed. <\/p>\n\n

2. Source Networks and Devices<\/h3>\n\n

Aqu\u00ed podemos enumerar las mismas redes que en la regla NAT del punto 1. fuente original.\nComo lo resuelvo aqu\u00ed a trav\u00e9s de la zona, lo dejo en CUALQUIER, pero, por supuesto, tambi\u00e9n puede almacenar tanto la zona como las redes de origen. <\/p>\n\n

3. Destination Zones<\/h3>\n\n

Como nuestro servidor horario est\u00e1 en Internet, aqu\u00ed elijo la zona WAN<\/strong>.<\/p>\n\n

4. Destination Networks<\/h3>\n\n

He definido time.google.com como servidor NTP en la regla NAT.\nPor eso tambi\u00e9n selecciono este FQDN aqu\u00ed, pero podr\u00eda dejarlo en CUALQUIER, ya que est\u00e1 definido en la regla NAT.\nSin embargo, me gusta ver inmediatamente en la regla del cortafuegos hacia d\u00f3nde va el tr\u00e1fico. <\/p>\n\n

5. Services<\/h3>\n\n

Al igual que con la regla NAT, utilizamos el protocolo predefinido NTP<\/strong>.<\/p>\n\n

6. Detect and prevent exploits (IPS)<\/h3>\n\n

Tienes el cortafuegos porque tambi\u00e9n quieres aportar algo de seguridad a la red.\nPor eso tambi\u00e9n proporcionamos una regla IPS para el tr\u00e1fico NTP.\nPara ello, simplemente he creado una regla IPS con el filtro inteligente nat<\/strong>. <\/p>\n\n

\n
\"\"<\/a>
Regla NAT de IPS<\/figcaption><\/figure>\n\n\n\n
\"\"<\/a>
A\u00f1adir nueva regla IPS para NAT<\/figcaption><\/figure>\n<\/figure>\n\n

La funci\u00f3n IPS (Intrusion Prevention) requiere una licencia de Network Protection.<\/p>\n","protected":false},"author":5,"featured_media":0,"parent":0,"template":"","format":"standard","kb_kategorie":[408],"class_list":["post-86138","kb","type-kb","status-publish","format-standard","hentry","kb_kategorie-sophos-firewall"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/kb\/86138","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/kb"}],"about":[{"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/types\/kb"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/users\/5"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/media?parent=86138"}],"wp:term":[{"taxonomy":"kb_kategorie","embeddable":true,"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/kb_kategorie?post=86138"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}