Naar de inhoud
Avanet

Sophos Firewall als NTP-server inrichten

Sophos Firewall

Toegegeven: de titel is strikt genomen niet helemaal juist, omdat er op Sophos Firewall geen NTP-service draait. Met een NAT-regel kun je dit echter zo oplossen dat de Sophos Firewall alle NTP-aanvragen afhandelt en op de client of server nog steeds de gateway-IP als NTP-server kan worden opgegeven.

NAT NTP-regel maken

Eerst maak ik nu een NAT-regel die het NTP-protocol afhandelt.

Sophos Firewall NAT-regel voor de NTP-server
Sophos Firewall NAT-regel voor de NTP-server

In de NAT-regel wordt nu gedefinieerd voor welke lokale netwerken de Sophos Firewall NTP-aanvragen moet beantwoorden.

Detailweergave van de Sophos Firewall NAT-regel voor NTP
Detailweergave van de Sophos Firewall NAT-regel voor NTP

1. Original Source

Hier worden de netwerken of ook losse IP-adressen ingevoerd die deze NAT-regel moeten gebruiken. Bijvoorbeeld 192.168.33.0/24 of ook ANY, als elke aanvraag moet worden meegenomen.

2. Original Destination

Hier lijst je alle IP-adressen op waarop de Sophos Firewall moet luisteren. Bijvoorbeeld het gateway-adres: 192.168.12.1 of ook ANY, als elke aanvraag moet worden meegenomen.

3. Original Service

Als protocol wordt NTP opgegeven, wat op de firewall al een voorgedefinieerde service is.

4. Translated Source (SNAT)

De firewall moet IP Masquerading uitvoeren en daarom kiezen we hier MASQ als waarde.

5. Translated destination (DNAT)

Hier vullen we het NTP-serveradres in waarnaar de firewall alle tijdvragen moet sturen. Ik gebruik hier de FQDN time.google.com. Ook pool.ntp.org is populair.

Inbound Interface

Daarnaast kun je bijvoorbeeld ook de lokale interfaces opgeven, zodat je zeker weet dat je geen WAN-aanvragen beantwoordt. Ik laat dit hier op ANY staan en los het daarna via de firewallregel op.

Firewallregel voor NTP-service

Zodat het verkeer van de NAT-regel nu ook wordt toegestaan, heb je een firewallregel nodig die je nu maakt.

Sophos Firewall-regel voor de NTP-server
Sophos Firewall-regel voor de NTP-server

Sophos Firewallregel voor NTP-serververkeer

1. Source Zones

Hier lijsten we alle source-zones op, zoals bijvoorbeeld LAN. Wat we hier niet willen zien, is de zone WAN, omdat we geen NTP-server voor het internet willen aanbieden.

2. Source Networks and Devices

Hier kunnen we dezelfde netwerken oplijsten als in de NAT-regel bij punt 1. Original Source. Omdat ik dit hier via de zone oplos, laat ik dit op ANY staan, maar je kunt natuurlijk ook beide opgeven: zone en source networks.

3. Destination Zones

Omdat onze tijdserver op het internet staat, kies ik hier de WAN-zone.

4. Destination Networks

In de NAT-regel heb ik time.google.com als NTP-server gedefinieerd. Daarom kies ik hier ook deze FQDN, maar ik zou dit ook op ANY kunnen laten staan, omdat dit al in de NAT-regel is gedefinieerd. Toch zie ik graag direct in de firewallregel waar het verkeer naartoe gaat.

5. Services

Net als bij de NAT-regel gebruiken we het voorgedefinieerde protocol NTP.

6. Detect and prevent exploits (IPS)

Je hebt de firewall omdat je ook veiligheid in het netwerk wilt brengen. Daarom stellen we ook een IPS-regel voor het NTP-verkeer beschikbaar. Hiervoor heb ik gewoon een IPS-regel met de Smart Filter nat gemaakt.

IPS NAT-regel
IPS NAT-regel
Nieuwe IPS-regel voor NAT toevoegen
Nieuwe IPS-regel voor NAT toevoegen

⚠️ De functie IPS (Intrusion Prevention) vereist een Network Protection-licentie.