Naar de inhoud
Avanet

Sophos Firewall als NTP-relay via NAT

In veel netwerken moeten clients, servers, switches, access points of speciale apparaten de Gateway-IP eenvoudigweg als tijdserver gebruiken. In dit scenario draait er echter geen volledige interne NTP-server op Sophos Firewall, die zelf de tijd voor clients levert.

De praktische oplossing is een NTP-relay via NAT. Apparaten sturen NTP naar het firewall-IP en Sophos Firewall stuurt deze verzoeken door naar een echte externe of interne tijdserver. De firewall wordt daarmee niet de eigenlijke tijdbron; hij vertaalt en staat het passende verkeer toe.

Dit is met name handig als apparaten permanent zijn geconfigureerd op de Gateway-IP, als een eerdere UTM-omgeving is vervangen of als u NTP-doelen centraal wilt beheren. Voor nieuwe DHCP-ontwerpen is het vaak schoner om de juiste tijdserver rechtstreeks via de DHCP-optie te distribueren. De basisprincipes kunt u vinden in Sophos Firewall DHCP-opties configureren.

⚠️ Belangrijk: De Sophos Firewall mag geen open NTP-service bieden aan internet. Bronzones, bronnetwerken, doelservers en firewallregels moeten opzettelijk worden beperkt. WAN als Source Zone is meestal onjuist voor dit patroon.

Welke variant is geschikt?

NTP via NAT is een pragmatisch patroon, maar niet altijd de beste architectuur.

SituatieBetere aanpak
Clients kunnen netjes worden beheerd via DHCPVerdeel de NTP-server via de DHCP-optie 42
Apparaten lopen vast bij het gebruik van de firewall of Gateway-IP als NTP-serverStuur NTP via NAT door naar een externe of interne NTP-server
Een interne domeincontroller of tijdserver is de centrale tijdbronClients direct of via NAT naar de interne NTP-server leiden
Alleen individuele IoT-, OT- of speciale apparaten worden getroffenCreëer kleine, smalle NAT- en firewallregels

Voor dit artikel zijn twee varianten van belang:

  • Variant A: Interne apparaten gebruiken de firewall IP als NTP-server, de firewall stuurt door naar een externe NTP-server.
  • Variant B: Interne apparaten gebruiken de firewall IP als NTP-server, de firewall stuurt door naar een interne NTP-server. Bovendien moet de interne NTP-server toestemming krijgen om extern te synchroniseren.

De tweede variant heeft daarom twee NAT-regels en twee firewallregels nodig. Dit is het punt dat ontbreekt in veel korte opmerkingen over dit onderwerp.

Vereisten

Vóór de configuratie moeten deze punten duidelijk zijn:

  • Welke interne netwerken mogen NTP gebruiken?
  • Welk IP-adres gebruiken clients als NTP-bestemming, bijvoorbeeld de Gateway-IP?
  • Welke echte NTP-server moet ik gebruiken?
  • Moet er een interne tijdserver of een externe dienst zoals time.google.com of pool.ntp.org worden gebruikt?
  • Kan de firewall op betrouwbare wijze DNS voor FQDN-doelen omzetten?
  • Is de eigen systeemtijd van de firewall correct gesynchroniseerd? De juiste tijd is belangrijk voor tijdkritische functies zoals MFA, WAF-authenticatie, certificaten, logs, VPN en SIEM-correlatie. Als de firewall zelf een onjuiste tijd heeft, moet eerst de systeemtijd worden gecontroleerd voordat Client-NTP wordt omgeleid.

De stappen in dit artikel zijn gebaseerd op Sophos Firewall 22.0. Menupaden en veldnamen kunnen in oudere of nieuwere SFOS-versies licht afwijken. De configuratie hoort thuis in de Sophos Firewall WebAdmin-interface of in zorgvuldig gecontroleerde API-/CLI-automatisering. In Sophos Central wordt deze NAT- en firewallregelset normaal niet als zelfstandige NTP-relayconfiguratie beheerd.

De voorbeelden zijn bewust als IPv4-setup beschreven, omdat Sophos in de officiële handleiding ook de hostaanmaak met IP version: IPv4 toont. In IPv6- of dual-stack-omgevingen moet dit patroon niet zomaar worden gekopieerd. Eerst moet duidelijk zijn of clients echt NTP via IPv6 nodig hebben, welke firewall- en NAT-functies gelden in de gebruikte SFOS-release en of DHCPv6, Router Advertisements of een directe interne tijdserver de schonere oplossing is.

Quick Reference

Voor ervaren beheerders is de korte logica eenvoudig: clients sturen UDP 123 naar het firewall- of gateway-IP. Een DNAT-regel herschrijft de bestemming naar de echte NTP-server, een firewallregel staat precies dit verkeer toe, en Log Viewer bevestigt daarna de Firewall Rule ID en NAT Rule ID.

Externe NTP-server: een DNAT-regel stuurt NTP vanaf het firewall-IP door naar het FQDN- of hostobject van de externe NTP-server. Een firewallregel staat NTP toe vanuit de betrokken interne bronnen richting WAN. Het kritieke veld is Original destination: dit moet naar het firewall- of gateway-IP wijzen.

Interne NTP-server: er zijn twee bewegingen nodig. Eerst moet de interne NTP-server zelf via SNAT/MASQ extern kunnen synchroniseren. Daarna stuurt een DNAT-regel clientverzoeken vanaf het firewall-IP door naar de interne NTP-server. Beide regelparen moeten apart in Log Viewer worden gecontroleerd.

Voor de eerste implementatie moet de regelpositie bewust hoog staan, meestal Top of boven brede LAN-to-WAN- en algemene NAT-regels. Daarna kan de positie in het bestaande regelconcept worden ingepast, zolang Log Viewer en Packet Capture blijven tonen dat de verwachte regel als eerste matcht.

Variant A: Gebruik externe NTP-server

Deze variant is geschikt als clients de firewall IP als NTP-server moeten gebruiken en er geen eigen interne tijdserver is. De firewall vertaalt het NTP-verzoek naar een externe tijdserver, bijvoorbeeld 1.sophos.pool.ntp.org, time.google.com of een bewust gekozen tijdserver van een provider.

Maak een FQDN-host voor externe NTP-server

Het menupad is:

Hosts and services > FQDN host

Werkwijze:

  1. Selecteer Add.
  2. Wijs Naam toe, bijvoorbeeld NTP_1_sophos_pool.
  3. Voer de externe NTP-server in onder FQDN, bijvoorbeeld 1.sophos.pool.ntp.org.
  4. Opslaan.

Als een interne of externe tijdserver met een vaste IP wordt gebruikt in plaats van FQDN, kan een normaal hostobject zinvoller zijn. Het is belangrijk dat het doel later duidelijk kan worden herkend in de NAT en firewallregel.

NAT-regel maken voor de externe NTP-server

De regel NAT zorgt ervoor dat NTP-verzoeken aan de firewall IP worden herschreven naar de externe tijdserver. Het menupad is:

Rules and policies > NAT rules

Werkwijze:

  1. Selecteer Add NAT rule > New NAT rule.
  2. Stel Rule name in, bijvoorbeeld DNAT_Client_NTP_to_External.
  3. Stel Rule position in op Top of plaats deze boven de brede NAT-regels.
  4. Stel Original source in op het betreffende interne netwerk, bijvoorbeeld LAN_NET of IOT_NET.
  5. Stel Original destination in op de firewall of Gateway-IP die clients gebruiken als de NTP-server.
  6. Voor Original service verwijdert u Any en selecteert u NTP.
  7. Voor Translated source (SNAT) selecteert u MASQ.
  8. Selecteer voor Translated destination (DNAT) de FQDN-host of de externe NTP-serverhost.
  9. Selecteer voor Inbound interface de interne interface of de betreffende interne interfaces.
  10. Opslaan.
    Sophos Firewall NAT-regel voor NTP-omleiding
    Sophos Firewall NAT Regel: NTP verzoeken aan de firewall IP worden doorgestuurd naar een realtime server.

⚠️ Laat Original destination niet open: als Original destination niet tot het firewall- of gateway-IP wordt beperkt, kan de regel afhankelijk van het overige NAT-ontwerp veel breder werken dan bedoeld. Dan wordt mogelijk niet alleen verkeer naar het firewall-IP doorgestuurd, maar ook NTP-verkeer uit het netwerk transparant omgebogen. Voor een gecontroleerde relay mag de regel alleen matchen wanneer clients werkelijk het firewall- of gateway-IP als NTP-bestemming gebruiken. In de detailweergave moet u vooral op vier punten letten: De oorspronkelijke bestemming moet werkelijk de firewall of Gateway-IP zijn, de service moet beperkt blijven tot NTP of UDP 123, de vertaalde bestemming moet verwijzen naar de geplande tijdserver en SNAT moet overeenkomen met de retourroute.

Gedetailleerd overzicht van de Sophos Firewall NAT-regel voor NTP
Gedetailleerd overzicht van de NTP-NAT-regel: bronnetwerk, firewall IP, NTP-service en vertaald doel moeten overeenkomen.
Als de basisbeginselen van NAT of de velden DNAT onduidelijk zijn, kan Begrijp NAT op Sophos Firewall: SNAT, DNAT, MASQ, PAT helpen. Het verklaart ook waarom NAT een firewall-release niet vervangt.

Firewallregel toestaan voor externe NTP

Volgens de NAT-regel is een geschikte firewallregel vereist. Hierdoor is NTP-verkeer van de interne netwerken naar de doelserver mogelijk. Het menupad is:

Rules and policies > Firewall rules

Werkwijze:

  1. Selecteer Add firewall rule > New firewall rule.
  2. Stel Rule name in, bijvoorbeeld LAN_to_External_NTP.
  3. Stel Rule position in op Top of plaats de regel boven algemene LAN-to-WAN-regels als die anders eerst zouden matchen.
  4. Activeer Log firewall traffic.
  5. Stel Source zones in op de interne zones, bijvoorbeeld LAN, DMZ of een IoT-zone. WAN en Any zijn onjuist voor dit patroon.
  6. Stel Source networks and devices in op de betrokken netwerken of apparaten. Geen algemene Any als alleen bepaalde netwerken NTP zouden moeten gebruiken.
  7. Stel Destination zones in op WAN.
  8. Stel Services in op NTP.
  9. Stel Action in op Accept.
  10. Opslaan.

In officiële of vereenvoudigde voorbeelden staat bij Source networks and devices soms Any. In een lab is dat handig, maar in productie zelden de beste keuze. Een concreet netwerkobject zoals LAN_NET, IOT_NET of een kleine hostgroep is netter, zodat later duidelijk blijft welke apparaten deze NTP-doorschakeling mogen gebruiken.

De regel is voornamelijk beperkt via Source Zone, Source Network, service, regelpositie en NAT-doel. Als Destination networks ook moet worden gebruikt, moet u het effect in Log Viewer controleren, omdat DNAT-regels het zichtbare doeladres in de analyse kunnen veranderen.

Sophos Firewall Regel voor NTP-omleiding
Regel Sophos Firewall: Sta alleen NTP toe van de beoogde interne netwerken naar de gedefinieerde tijdserver.
Als het om de regel gaat, moet je niet alleen letten op de functionaliteit, maar ook op de leesbaarheid. Een naam als LAN_to_NTP_time_google of IOT_to_NTP_internal is later gemakkelijker te begrijpen dan een generieke regel met Any.

Het inloggen op deze regel is handig voor de introductie. Na de test zou je in de Log Viewer moeten kunnen zien van welk clientnetwerk de aanvraag afkomstig is, welke Firewall Rule ID gebruikt is en of de verwachte NAT Rule ID ook zichtbaar is. Als er geen regel-ID of de verkeerde regel verschijnt, is de volgorde of overeenkomst van de regel belangrijker dan de NTP-configuratie zelf.

Voor regelstructuur, volgorde, Services en loggen past ook Sophos Firewall-regels begrijpen en correct configureren.

Variant B: Gebruik interne NTP-server

Deze variant is geschikt als een interne domeincontroller, Linux-tijdserver of ander intern systeem de tijdbron voor clients moet zijn, maar de clients de firewall IP blijven gebruiken als NTP-server.

Hier zijn twee paar regels nodig:

DoelNAT-regelFirewallregel
Interne NTP-server synchroniseert met externeSNAT/MASQ van interne NTP-server naar externe NTPInterne NTP-server maakt NTP mogelijk voor WAN
Clients gebruiken firewall-IP als NTP-doelDNAT van firewall IP naar interne NTP-serverInterne clients hebben NTP toegang tot de interne NTP-server

Host maken voor interne NTP-server

Het menupad is:

Hosts and services

Werkwijze:

  1. Selecteer Add.
  2. Stel Naam in, bijvoorbeeld NTP_Server_Internal.
  3. Stel IP version in op IPv4 als IPv4 wordt gebruikt.
  4. Stel Type in op IP.
  5. Voer IP address van de interne NTP-server in.
  6. Opslaan.

Regelpaar 1: Interne NTP-server synchroniseert extern

Ten eerste moet de interne NTP-server zelf een externe tijdserver kunnen bereiken als deze niet al elders is gesynchroniseerd.

NAT-regel:

  1. Open Rules and policies > NAT rules.
  2. Selecteer Add NAT rule > New NAT rule.
  3. Stel Rule name in, bijvoorbeeld SNAT_Internal_NTP_to_WAN.
  4. Stel Rule position in op Top of plaats de regel passend boven brede NAT-regels.
  5. Stel Original source in om NTP_Server_Internal te hosten.
  6. Voor Original service verwijdert u Any en selecteert u NTP.
  7. Voor Translated source (SNAT) selecteert u MASQ.
  8. Opslaan.

Firewallregel:

  1. Open Rules and policies > Firewall rules.
  2. Selecteer Add firewall rule > New firewall rule.
  3. Stel Rule name in, bijvoorbeeld Internal_NTP_to_WAN.
  4. Activeer Log firewall traffic.
  5. Stel Source zones in op de zone van de interne NTP-server, bijvoorbeeld LAN.
  6. Stel Source networks and devices in op NTP_Server_Internal.
  7. Stel Destination zones in op WAN.
  8. Stel Services in op NTP.
  9. Opslaan.

Regelpaar 2: Leid clients naar de interne NTP-server via firewall-IP

Het daadwerkelijke doorsturen wordt dan opgebouwd: clients sturen NTP naar de firewall-IP, de firewall stuurt door naar de interne NTP-server.

NAT-regel:

  1. Open Rules and policies > NAT rules.
  2. Selecteer Add NAT rule > New NAT rule.
  3. Stel Rule name in, bijvoorbeeld DNAT_Client_NTP_to_Internal.
  4. Stel Rule position in op Top of plaats de regel boven algemene NAT-regels.
  5. Stel Original source in op de betreffende interne clientnetwerken.
  6. Stel Original destination in op de firewall of Gateway-IP die clients gebruiken als de NTP-bestemming.
  7. Voor Original service verwijdert u Any en selecteert u NTP.
  8. Voor Translated source (SNAT) selecteert u MASQ.
  9. Voor Translated destination (DNAT) selecteert u NTP_Server_Internal.
  10. Opslaan.

Ook hier is Original destination beslissend: de regel mag alleen NTP-verzoeken vertalen die aan het firewall- of gateway-IP zijn gericht. Als dit veld te breed blijft, kan de firewall ook NTP-verzoeken oppikken die clients eigenlijk rechtstreeks naar een andere tijdserver wilden sturen.

Firewallregel:

  1. Open Rules and policies > Firewall rules.
  2. Selecteer Add firewall rule > New firewall rule.
  3. Stel Rule name in, bijvoorbeeld LAN_to_Internal_NTP.
  4. Activeer Log firewall traffic.
  5. Stel Source zones in op de interne clientzones. Vermijd WAN en Any.
  6. Stel Source networks and devices in op de betrokken clientnetwerken.
  7. Stel Destination zones in op de zone van de interne NTP-server, bijvoorbeeld LAN of DMZ.
  8. Stel Services in op NTP.
  9. Opslaan. Als er ook een Bestemmingsnetwerk is ingesteld, moet u specifiek testen of de firewallregel blijft overeenkomen volgens DNAT. Voor initiële acceptatie zijn bronnetwerk, bestemmingszone, service, NAT-regel en Log Viewer meestal de duidelijkere controlepunten.

Als de interne NTP-server zelf een domeincontroller is, moet u bijzonder voorzichtig zijn. Niet elk clientnetwerk hoeft elke domeincontroller rechtstreeks te bereiken. NTP kan worden toegestaan ​​zonder even brede domeincontrollertoegangen te openen.

Operaties, beveiliging en testen

Classificeer IPS en beveiligingsfuncties

NTP is technisch gezien een kleine UDP-service, maar UDP 123 wordt in de praktijk ook relevant voor misbruik, misconfiguratie of ongewenste externe doelen. Als er een Network Protection-licentie beschikbaar is, kan een geschikt IPS-beleid voor de firewallregel zinvol zijn.

Belangrijker dan zoveel mogelijk beveiligingsfuncties bij de NTP is een strak ontwerp:

  • Source Zone alleen intern: voorkomt dat de firewall zich gedraagt ​​als een openbaar NTP-relais.
  • Bronnetwerken specifiek: beperkt NTP tot clients, servers of apparaten die deze doorsturing echt nodig hebben.
  • Set Destination Server: voorkomt externe tijdservers en maakt logs evalueerbaar.
  • Alleen service NTP: vermijdt een te brede UDP-regel.
  • Logboekregistratie activeren: toont in Log Viewer of Firewall Rule ID en NAT Rule ID werken zoals verwacht.

IPS moet daarom worden gezien als extra controle, en niet als vervanging van een schone regel. Als de NTP-regel slechts enkele interne netwerken op een gedefinieerde tijdserver toestaat, wordt de belangrijkste veiligheidswinst al bereikt door reikwijdte en traceerbaarheid. Wanneer het om een ​​groot aantal netwerken, onduidelijke devices of IoT/OT-gebieden gaat, wordt een gericht IPS-beleid interessanter.

Sophos Firewall IPS-regel voor NTP-verkeer
Kies bewust voor IPS-beleid voor NTP-verkeer en pas dit niet blindelings toe op alle netwerken.
Sophos Firewall Nieuwe IPS-regel toevoegen voor NTP
Maak een nieuwe IPS-regel met het juiste filter voor het gebruiksscenario NTP.

⚠️ IPS vereist een geschikte netwerkbeschermingslicentie. Als IPS is ingeschakeld op een veelgebruikte regel, moeten logboeken en prestaties worden gecontroleerd. Voor eenvoudig doorsturen van NTP is schone scoping belangrijker dan een onnodig brede combinatie van beveiligingsfuncties.

Als hiervoor een speciaal IPS-beleid wordt gebruikt, mag dit niet over de hele linie naar alle interne netwerken worden gekopieerd. Het is zinvoller om een ​​kleine regel te hebben met een duidelijke bron, een gedefinieerd NTP-doel, actieve registratie en daaropvolgende controle in de Log Viewer.

Andere beveiligingskenmerken moeten met NTP bewust voorzichtig worden behandeld. Voor deze eenvoudige UDP-service helpen Web Filtering, TLS Inspection, Application Control of Malware Scan meestal niet met de daadwerkelijke NTP-functie. Als dergelijke profielen actief zijn op een collectieve regel, moet worden nagegaan of NTP beter in een eigen, kleine regel zou kunnen worden geplaatst.

Verdeel NTP netjes met DHCP

Als de clients hun netwerkconfiguratie via DHCP ontvangen, moet u controleren of een NAT-forwarding überhaupt nodig is. Voor veel omgevingen is het schoner om de gewenste NTP-server rechtstreeks via DHCP te distribueren.

Als er een domeincontroller of centrale tijdserver aanwezig is, kan de DHCP-optie 42 rechtstreeks naar deze server verwijzen. NAT is vooral handig als apparaten de Gateway-IP al gebruiken of moeilijk opnieuw te configureren zijn. Voor speciale DHCP-opties is Sophos Firewall DHCP-opties configureren een beter begin.

Controleer de firewallsysteemtijd afzonderlijk

De NTP-clientomleiding is niet hetzelfde als de Sophos Firewall-systeemtijd. Beide moeten afzonderlijk worden gecontroleerd:

  • Firewallsysteemtijd: relevant voor Log Viewer, certificaten, MFA, VPN, WAF authenticatie, rapporten, Syslog en ondersteuningsanalyse.
  • Client-NTP via NAT: Apparaten in het interne netwerk ontvangen tijd via de Gateway-IP of een omgeleid NTP-adres.

Als de firewall zelf een onjuiste tijd of tijdzone heeft, kunnen loggegevens moeilijk te correleren zijn, kunnen certificaatcontroles mislukken of kan op tijd gebaseerde authenticatie zoals TOTP/MFA problemen veroorzaken. Vervolgens moeten eerst de firewallsysteemtijd en de firewall NTP-toegang worden gecorrigeerd. Alleen dan heeft het zin om client NTP te valideren via NAT.

Voor SIEM- of Syslog-omgevingen is dit punt bijzonder belangrijk: de firewall kan NTP-verkeer correct routeren en toch onjuiste tijdstempels naar een SIEM verzenden als zijn eigen tijd of tijdzone onjuist is.

Voor het doorsturen van logbestanden is Sophos Firewall Syslog naar SIEM geschikt. Voor MFA-problemen moet MFA voor Sophos Firewall WebAdmin, VPN Portal- en externe toegang inschakelen ook worden opgenomen.

Test NTP en isoleer fouten

Na het opslaan moet u niet alleen controleren of de regel bestaat. Cruciaal is of een client NTP echt kan synchroniseren en of aan de verwachte NAT en firewallregel wordt voldaan.

De test begint voor beide varianten hetzelfde: een client uit het getroffen netwerk gebruikt de firewall of Gateway-IP als NTP-server. Vervolgens wordt een tijdsynchronisatie geactiveerd of wordt er even gewacht totdat de client NTP verzendt.

In Log Viewer filter je op service NTP of UDP 123.

Bij variant A moet zichtbaar zijn:

  • De client komt uit het verwachte interne netwerk.
  • De NTP-firewallregel voor externe NTP-hits.
  • De regel DNAT komt overeen met de externe tijdbron.
  • Het doel is de geplande externe NTP-server.

Voor variant B moeten twee dingen worden gecontroleerd:

  • De interne NTP-server mag NTP extern verzenden.
  • De clients worden via DNAT van de firewall-IP naar de interne NTP-server geleid. Als de Log Viewer niet duidelijk laat zien welke regel van toepassing is, kan Diagnostics > Pakketopname helpen. Daar moet u controleren of pakketten van de client naar UDP 123 op de firewall aankomen en of pakketten vervolgens doorgaan naar de verwachte externe of interne tijdserver.

Als er geen logbestanden zichtbaar zijn, kan het verzoek helemaal niet naar de client worden verzonden, registreert de firewallregel niet of volgt het verkeer een ander pad. Test firewallregel met Log Viewer, Policy Test en Packet Capture is geschikt voor de systematische controle.

Voor firewall-specifieke NTP-problemen is het NTP-clientlogboek ook relevant. Het logoverzicht vindt u in Sophos Firewall Probleemoplossing: Services en logs.

Korte aanvaarding

Vóór een productieve voltooiing moeten vijf punten correct zijn:

  1. Clients gebruiken de firewall of Gateway-IP daadwerkelijk als NTP-server.
  2. De NTP-regels staan ​​alleen de beoogde interne bronnetwerken toe.
  3. De verwachte Firewall Rule ID en NAT Rule ID zijn zichtbaar in de Log Viewer.
  4. De firewallsysteemtijd is afzonderlijk correct.
  5. Na DHCP, VLAN, NAT of regelwijzigingen wordt NTP opnieuw getest.

Typische fouten

  • WAN toegestaan als Source Zone: De firewall kan onbedoeld fungeren als een open NTP-relais. Beperk bronzones tot interne zones.
  • Any voor bron en bestemming: De regel is moeilijk te controleren. Definieer bronnetwerken en doelservers specifiek.
  • NAT-regel aanwezig, maar geen firewallregel: Verkeer wordt vertaald maar niet toegestaan. Controleer Log Viewer op regel-ID en NAT-ID.
  • Firewallregel zonder loggen: Foutanalyse wordt onnodig moeilijk. Activeer Log firewall traffic tenminste tijdens de test.
  • FQDN-doel wordt niet omgezet: Het DNAT-doel is niet bereikt. Controleer de DNS-resolutie van de firewall.
  • Client gebruikt andere NTP-server: Er wordt nooit aan de regel voldaan. Controleer de clientconfiguratie of de DHCP-optie.
  • Tijdserver reageert niet: De client blijft niet gesynchroniseerd. Controleer de bestemmingsserver, routering en UDP 123.

Veelgestelde vragen

Kan Sophos Firewall werken als een echte NTP-server?

Dit patroon installeert geen volwaardige NTP-server op de firewall. De firewall stuurt NTP-verzoeken via NAT door naar een gedefinieerde tijdserver. Dit is voldoende voor veel oudere of Gateway-IP-scenario’s, maar moet bewust worden gepland.

Welke poort wordt gebruikt voor NTP?

NTP gebruikt normaal gesproken UDP 123. Op Sophos Firewall is hiervoor een vooraf gedefinieerde service, NTP, die kan worden gebruikt in NAT en firewallregels.

Moet u NTP configureren via NAT of via DHCP?

Als clients via DHCP goed kunnen worden aangestuurd, is DHCP meestal de betere oplossing. NAT is handig wanneer apparaten de Gateway-IP al gebruiken als een NTP-server of moeilijk opnieuw te configureren zijn.

Kan de regel NTP toegankelijk zijn vanaf de WAN?

Nee, voor dit scenario mag WAN niet worden gebruikt als Source Zone. De regel is bedoeld voor interne netwerken, niet als openbare NTP-service.

Waarom is NTP belangrijk voor de werking van de firewall?

De juiste tijd is belangrijk voor logboeken, certificaten, MFA, VPN, WAF-authenticatie, SIEM-correlatie en probleemoplossing. Onjuiste tijdstempels bemoeilijken de analyse en kunnen authenticatieproblemen veroorzaken.

Is NTP-omleiding voldoende als de firewall zelf de verkeerde tijd heeft?

Nee. De NTP-omleiding kan clientverzoeken correct afhandelen, maar veroorzaakt geen onjuiste firewallsysteemtijd. De tijd, tijdzone en de eigen NTP-toegang van de firewall moeten afzonderlijk correct zijn.