{"id":86141,"date":"2022-10-24T20:00:22","date_gmt":"2022-10-24T19:00:22","guid":{"rendered":"https:\/\/www.avanet.com\/kb\/configurer-sophos-firewall-comme-serveur-ntp\/"},"modified":"2022-11-08T10:44:22","modified_gmt":"2022-11-08T09:44:22","slug":"configurer-sophos-firewall-comme-serveur-ntp","status":"publish","type":"kb","link":"https:\/\/www.avanet.com\/fr\/kb\/configurer-sophos-firewall-comme-serveur-ntp\/","title":{"rendered":"Configurer Sophos Firewall comme serveur NTP"},"content":{"rendered":"\n

Il est vrai que le titre est erron\u00e9, car la Sophos Firewall n’a pas de service NTP.\nIl est cependant possible de r\u00e9soudre ce probl\u00e8me en cr\u00e9ant une r\u00e8gle NAT de sorte que Sophos Firewall s’occupe de toutes les demandes NTP et que l’IP de la passerelle puisse \u00eatre sp\u00e9cifi\u00e9e comme serveur NTP sur le client ou le serveur. <\/p>\n\n

Cr\u00e9er une r\u00e8gle NAT NTP<\/h2>\n\n

Je commence par cr\u00e9er une r\u00e8gle NAT qui s’occupe du protocole NTP.<\/p>\n\n

\n
\"\"<\/a><\/figure>\n<\/figure>\n\n

La r\u00e8gle NAT d\u00e9finit maintenant les r\u00e9seaux locaux pour lesquels Sophos Firewall doit r\u00e9pondre aux requ\u00eates NTP.<\/p>\n\n

\n
\"\"<\/a><\/figure>\n<\/figure>\n\n

1. Original Source<\/h3>\n\n

Les r\u00e9seaux ou les adresses IP individuelles qui doivent utiliser cette r\u00e8gle NAT sont saisis ici.\nPar exemple 192.168.33.0\/24 ou ANY, si chaque demande doit \u00eatre prise en compte. <\/p>\n\n

2. Original Destination<\/h3>\n\n

Ici, on liste toutes les adresses IP auxquelles le Sophos Firewall doit \u00e9couter.\nPar exemple, l’adresse de la passerelle : 192.168.12.1 ou ANY, si chaque requ\u00eate doit \u00eatre prise en compte. <\/p>\n\n

3. Original Service<\/h3>\n\n

Le protocole indiqu\u00e9 est NTP<\/strong>, qui est d\u00e9j\u00e0 un service pr\u00e9d\u00e9fini sur le pare-feu.<\/p>\n\n

4. Translated Source (SNAT)<\/h3>\n\n

Le pare-feu doit effectuer un masquage d’IP, c’est pourquoi nous choisissons ici MASQ<\/strong> comme valeur.<\/p>\n\n

5. Translated destination (DNAT)<\/h3>\n\n

Nous saisissons ici l’adresse du serveur NTP auquel le pare-feu doit envoyer toutes les demandes de temps.\nJ’utilise ici le FQDN time.google.com<\/strong> ou, tout aussi populaire, pool.ntp.org<\/strong>. <\/p>\n\n

Inbound Interface<\/h3>\n\n

En outre, il est possible de d\u00e9finir les interfaces locales afin d’\u00eatre s\u00fbr de ne pas r\u00e9pondre aux demandes WAN.\nJe laisse ici la valeur ANY et je la r\u00e9sous ensuite via la r\u00e8gle de pare-feu. <\/p>\n\n

R\u00e8gle de pare-feu pour le service NTP<\/h2>\n\n

Pour que le trafic de la r\u00e8gle NAT soit autoris\u00e9, il faut une r\u00e8gle de pare-feu que l’on cr\u00e9e maintenant.<\/p>\n\n

\n
\"\"<\/a><\/figure>\n
R\u00e8gle de Sophos Firewall pour le trafic du serveur NTP<\/figcaption><\/figure>\n\n

1. Source Zones<\/h3>\n\n

Nous \u00e9num\u00e9rons ici toutes les zones sources, comme par exemple le LAN<\/strong>.\nCe que nous ne voulons pas voir ici, c’est la zone WAN<\/strong>, car nous ne voulons pas y mettre \u00e0 disposition un serveur NTP pour Internet. <\/p>\n\n

2. Source Networks and Devices<\/h3>\n\n

Ici, nous pouvons \u00e9num\u00e9rer les m\u00eames r\u00e9seaux que dans la r\u00e8gle NAT au point 1. Source originale.\nComme je r\u00e9sous cette question par le biais de la zone, je laisse ici ANY, mais on peut bien s\u00fbr aussi d\u00e9finir les deux zones et les r\u00e9seaux source. <\/p>\n\n

3. Destination Zones<\/h3>\n\n

Comme notre serveur de temps se trouve sur Internet, je choisis ici la zone WAN<\/strong>.<\/p>\n\n

4. Destination Networks<\/h3>\n\n

Dans la r\u00e8gle NAT, j’ai d\u00e9fini time.google.com comme serveur NTP.\nC’est pourquoi j’ai choisi ce FQDN, mais je pourrais le laisser sur ANY, car il est d\u00e9j\u00e0 d\u00e9fini dans la r\u00e8gle NAT.\nMais j’aimerais voir directement dans la r\u00e8gle de pare-feu o\u00f9 va le trafic. <\/p>\n\n

5. Services<\/h3>\n\n

Comme pour la r\u00e8gle NAT, nous utilisons le protocole pr\u00e9d\u00e9fini NTP<\/strong>.<\/p>\n\n

6. Detect and prevent exploits (IPS)<\/h3>\n\n

On a le pare-feu parce qu’on veut aussi apporter un peu de s\u00e9curit\u00e9 au r\u00e9seau.\nC’est pourquoi nous fournissons \u00e9galement une r\u00e8gle IPS pour le trafic NTP.\nPour cela, j’ai simplement cr\u00e9\u00e9 une r\u00e8gle IPS avec le Smart Filter nat<\/strong>. <\/p>\n\n

\n
\"\"<\/a>
R\u00e8gle IPS NAT<\/figcaption><\/figure>\n\n\n\n
\"\"<\/a>
Ajouter une nouvelle r\u00e8gle IPS pour NAT<\/figcaption><\/figure>\n<\/figure>\n\n

\u26a0\ufe0f La fonction IPS (Intrusion Prevention) n\u00e9cessite une licence Network Protection.<\/p>\n","protected":false},"author":5,"featured_media":0,"parent":0,"template":"","format":"standard","kb_kategorie":[407],"class_list":["post-86141","kb","type-kb","status-publish","format-standard","hentry","kb_kategorie-sophos-firewall"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/kb\/86141","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/kb"}],"about":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/types\/kb"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/users\/5"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/media?parent=86141"}],"wp:term":[{"taxonomy":"kb_kategorie","embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/kb_kategorie?post=86141"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}