Przejdz do tresci
Avanet

Konfiguracja Sophos Firewall jako serwera NTP

Sophos Firewall

Ściśle mówiąc, tytuł jest uproszczeniem, ponieważ na Sophos Firewall nie działa własna usługa NTP. Za pomocą reguły NAT można jednak rozwiązać to tak, aby Sophos Firewall obsługiwał wszystkie zapytania NTP, a na kliencie lub serwerze nadal można było wpisać adres IP bramy jako serwer NTP.

Tworzenie reguły NAT dla NTP

Najpierw tworzymy regułę NAT, która będzie obsługiwać protokół NTP.

Reguła NAT Sophos Firewall dla serwera NTP
Reguła NAT Sophos Firewall dla serwera NTP

W regule NAT określamy, dla których lokalnych sieci Sophos Firewall ma obsługiwać zapytania NTP.

Szczegóły reguły NAT Sophos Firewall dla NTP
Szczegóły reguły NAT Sophos Firewall dla NTP

1. Original Source

W tym miejscu wpisuje się sieci lub pojedyncze adresy IP, które mają korzystać z tej reguły NAT. Może to być na przykład 192.168.33.0/24 albo ANY, jeśli każda prośba ma być uwzględniana.

2. Original Destination

Tutaj wskazuje się wszystkie adresy IP, na których Sophos Firewall ma nasłuchiwać. Może to być na przykład adres bramy 192.168.12.1 albo ANY, jeśli każda prośba ma być uwzględniana.

3. Original Service

Jako protokół wybieramy NTP, który jest już predefiniowaną usługą na firewallu.

4. Translated Source (SNAT)

Firewall ma wykonać IP masquerading, dlatego jako wartość wybieramy tutaj MASQ.

5. Translated Destination (DNAT)

Tutaj wpisujemy adres serwera NTP, do którego firewall ma wysyłać wszystkie zapytania czasu. W tym przykładzie używam FQDN time.google.com. Często używany jest również pool.ntp.org.

Inbound Interface

Dodatkowo można wpisać lokalne interfejsy, aby mieć pewność, że firewall nie odpowiada na zapytania z WAN. W tym przykładzie zostawiam ANY i ograniczam dostęp później przez regułę firewall.

Reguła firewall dla usługi NTP

Aby ruch z reguły NAT był dozwolony, potrzebna jest jeszcze reguła firewall.

Reguła Sophos Firewall dla serwera NTP
Reguła Sophos Firewall dla serwera NTP

Reguła Sophos Firewall dla ruchu NTP

1. Source Zones

Tutaj wskazujemy wszystkie strefy źródłowe, na przykład LAN. Nie chcemy tu widzieć strefy WAN, ponieważ nie udostępniamy serwera NTP do Internetu.

2. Source Networks and Devices

Możemy tu wpisać te same sieci, które zostały użyte w regule NAT w punkcie 1. Original Source. Ponieważ w tym przykładzie ograniczam ruch przez strefę, zostawiam tutaj ANY. Oczywiście można też podać zarówno strefę, jak i konkretne sieci źródłowe.

3. Destination Zones

Ponieważ nasz serwer czasu znajduje się w Internecie, wybieram tutaj strefę WAN.

4. Destination Networks

W regule NAT jako serwer NTP zdefiniowano time.google.com. Dlatego wybieram tutaj również ten FQDN, chociaż można byłoby zostawić ANY, ponieważ cel jest już określony w regule NAT. Wolę jednak od razu widzieć w regule firewall, dokąd kierowany jest ruch.

5. Services

Tak jak w regule NAT używamy predefiniowanego protokołu NTP.

6. Detect and prevent exploits (IPS)

Firewall ma również podnosić bezpieczeństwo w sieci, dlatego dla ruchu NTP udostępniamy regułę IPS. W tym przykładzie utworzono prostą regułę IPS ze Smart Filter nat.

Reguła IPS NAT
Reguła IPS NAT
Dodawanie nowej reguły IPS dla NAT
Dodawanie nowej reguły IPS dla NAT

⚠️ Funkcja IPS (Intrusion Prevention) wymaga licencji Network Protection.