Saltar para o conteudo
Avanet

Sophos Firewall como servidor NTP: encaminhar NTP via NAT

Em muitas redes, clientes, servidores, switches, pontos de acesso ou dispositivos especiais devem simplesmente usar o Gateway-IP como servidor de horário. Neste cenário, entretanto, não há um servidor NTP interno completo em execução em Sophos Firewall, que fornece o tempo para os clientes.

A solução prática é um encaminhamento NTP via NAT. Os dispositivos enviam NTP para o firewall IP, e o Sophos Firewall encaminha essas solicitações para um servidor de horário externo ou interno real.

Isto é particularmente útil se os dispositivos estiverem permanentemente configurados para Gateway-IP, se um ambiente UTM anterior tiver sido substituído ou se você desejar controlar centralmente os alvos NTP. Para novos designs de DHCP, geralmente é mais fácil distribuir o servidor de horário correto diretamente por meio da opção DHCP. Os princípios básicos podem ser encontrados em Sophos Firewall Configurar opções de DHCP.

⚠️ Importante: O Sophos Firewall não deve fornecer um serviço NTP aberto para a Internet. Zonas de origem, redes de origem, servidores de destino e regras de firewall devem ser deliberadamente restringidas. WAN como Source Zone geralmente é incorreto para esse padrão.

Qual variante é adequada?

NTP via NAT é um padrão pragmático, mas nem sempre a melhor arquitetura.

SituaçãoMelhor abordagem
Os clientes podem ser controlados de forma limpa via DHCPDistribuir servidor NTP via opção DHCP 42
Os dispositivos estão travados usando o firewall ou Gateway-IP como servidor NTPEncaminhar NTP via NAT para um servidor NTP externo ou interno
Um controlador de domínio interno ou servidor de horário é a fonte central de tempoEncaminhar os clientes diretamente ou via NAT para o servidor NTP interno
Apenas dispositivos IoT, OT ou especiais individuais são afetadosCrie NAT pequenas e estreitas e regras de firewall

Duas variantes são importantes para este artigo:

  • Variante A: Dispositivos internos usam o firewall IP como um servidor NTP, o firewall encaminha para um servidor NTP externo.
  • Variante B: Dispositivos internos utilizam o firewall IP como servidor NTP, o firewall encaminha para um servidor NTP interno. Além disso, o servidor interno NTP deve ter permissão para sincronizar externamente.

A segunda variante precisa, portanto, de duas regras NAT e duas regras de firewall. Este é o ponto que falta em muitas notas breves sobre este tópico.

Requisitos

Antes da configuração, estes pontos devem estar claros:

  • Quais redes internas podem usar NTP?
  • Qual endereço IP os clientes usam como destino NTP, por exemplo o Gateway-IP?
  • Qual servidor NTP real usar?
  • Deve ser usado um servidor de horário interno ou um serviço externo como time.google.com ou pool.ntp.org?
  • O firewall pode resolver DNS de maneira confiável para alvos FQDN?
  • A hora do sistema do próprio firewall está sincronizada corretamente? A hora correta é importante para funções críticas de tempo, como MFA, autenticação WAF, certificados, logs, correlação VPN e SIEM. Se o próprio firewall tiver hora incorreta, a hora do sistema deve ser verificada primeiro antes de redirecionar o Client-NTP.

Os passos deste artigo baseiam-se no Sophos Firewall 22.0. Os caminhos de menu e nomes de campos podem variar ligeiramente em versões SFOS mais antigas ou mais recentes. A configuração pertence à interface WebAdmin do Sophos Firewall ou a uma automação API/CLI cuidadosamente verificada. No Sophos Central, este conjunto de regras NAT e firewall normalmente não é gerido como uma configuração NTP relay autónoma.

Os exemplos são descritos intencionalmente como uma configuração IPv4, porque a Sophos também mostra a criação do host na documentação oficial com IP version: IPv4. Em ambientes IPv6 ou dual-stack, este padrão não deve ser simplesmente copiado. Primeiro é necessário esclarecer se os clientes precisam realmente de NTP via IPv6, que funções de firewall e NAT se aplicam na versão SFOS usada e se DHCPv6, Router Advertisements ou um servidor de horário interno direto são a solução mais limpa.

Quick Reference

Para administradores experientes, a lógica curta é simples: os clientes enviam UDP 123 para o IP do firewall ou gateway. Uma regra DNAT altera o destino para o servidor NTP real, uma regra de firewall permite exatamente esse tráfego e o Log Viewer confirma depois o Firewall Rule ID e o NAT Rule ID.

Servidor NTP externo: uma regra DNAT encaminha NTP do IP do firewall para o objeto FQDN ou host do servidor NTP externo. Uma regra de firewall permite NTP das fontes internas afetadas em direção a WAN. O campo crítico é Original destination: deve apontar para o IP do firewall ou gateway.

Servidor NTP interno: são necessários dois fluxos. Primeiro, o servidor NTP interno deve poder sincronizar externamente via SNAT/MASQ. Depois, uma regra DNAT encaminha pedidos de clientes do IP do firewall para o servidor NTP interno. Ambos os pares de regras devem ser verificados separadamente no Log Viewer.

Na primeira implementação, a posição da regra deve ser deliberadamente alta, normalmente Top ou acima de regras LAN-to-WAN e NAT gerais. Depois, a posição pode ser integrada no conceito de regras existente, desde que o Log Viewer e Packet Capture continuem a mostrar que a regra esperada é a primeira a corresponder.

Variante A: Use servidor NTP externo

Esta variante é adequada se os clientes usarem o firewall IP como um servidor NTP e não houver um servidor de horário interno próprio. O firewall traduz a solicitação NTP para um servidor de horário externo, por exemplo 1.sophos.pool.ntp.org, time.google.com ou um servidor de horário de provedor escolhido deliberadamente.

Criar host FQDN para servidor NTP externo

O caminho do menu é:

Hosts and services > FQDN host

Procedimento:

  1. Selecione Add.
  2. Atribua Nome, por exemplo NTP_1_sophos_pool.
  3. Insira o servidor NTP externo em FQDN, por exemplo 1.sophos.pool.ntp.org.
  4. Salve.

Se um servidor de horário interno ou externo com um IP fixo for usado em vez de FQDN, um objeto de host normal poderá fazer mais sentido. É importante que o alvo possa ser claramente reconhecido posteriormente no NAT e na regra de firewall.

Criar regra NAT para o servidor NTP externo

A regra NAT garante que as solicitações NTP ao firewall IP sejam reescritas no servidor de horário externo. O caminho do menu é:

Rules and policies > NAT rules

Procedimento:

  1. Selecione Add NAT rule > New NAT rule.
  2. Defina Rule name, por exemplo DNAT_Client_NTP_to_External.
  3. Defina Rule position como Top ou coloque acima das regras amplas NAT.
  4. Configure Original source para a rede interna afetada, por exemplo LAN_NET ou IOT_NET.
  5. Configure Original destination para o firewall ou Gateway-IP que os clientes usam como servidor NTP.
  6. Para Original service, remova Any e selecione NTP.
  7. Para Translated source (SNAT) selecione MASQ.
  8. Para Translated destination (DNAT), selecione o host FQDN ou o host do servidor externo NTP.
  9. Para Inbound interface, selecione a interface interna ou as interfaces internas afetadas.
  10. Salve.
    Regra Sophos Firewall NAT para redirecionamento NTP
    Sophos Firewall NAT Regra: As solicitações NTP ao firewall IP são encaminhadas para um servidor de tempo real.

⚠️ Não deixar Original destination aberto: se Original destination não for limitado ao IP do firewall ou gateway, a regra pode atuar de forma muito mais ampla, dependendo do restante desenho NAT. Nesse caso, não só o tráfego para o IP do firewall pode ser encaminhado; o tráfego NTP da rede também pode ser redirecionado de forma transparente. Para um relay controlado, a regra só deve corresponder quando os clientes usam realmente o IP do firewall ou gateway como destino NTP. Na visão detalhada você deve prestar especial atenção a quatro pontos: O destino original deve ser realmente o firewall ou Gateway-IP, o serviço deve permanecer limitado a NTP ou UDP 123, o destino traduzido deve apontar para o servidor de horário planejado e SNAT deve corresponder à rota de retorno.

Visualização detalhada da regra Sophos Firewall NAT para NTP
Visualização detalhada da regra NTP-NAT: rede de origem, firewall IP, serviço NTP e destino traduzido devem corresponder.
Se os campos básicos de NAT ou DNAT não estiverem claros, Entenda NAT em Sophos Firewall: SNAT, DNAT, MASQ, PAT ajudará. Também explica por que NAT não substitui uma versão de firewall.

Permitir regra de firewall para NTP externo

De acordo com a regra NAT, é necessária uma regra de firewall adequada. Isso permite o tráfego NTP das redes internas para o servidor de destino. O caminho do menu é:

Rules and policies > Firewall rules

Procedimento:

  1. Selecione Add firewall rule > New firewall rule.
  2. Defina Rule name, por exemplo LAN_to_External_NTP.
  3. Defina Rule position como Top ou coloque-a acima das regras gerais LAN-to-WAN se estas corresponderem antes.
  4. Ative Log firewall traffic.
  5. Defina Source zones para as zonas internas, por exemplo LAN, DMZ ou uma zona IoT. WAN e Any estão incorretos para esse padrão.
  6. Defina Source networks and devices para as redes ou dispositivos afetados. Não é um Any geral se apenas algumas redes usarem NTP.
  7. Defina Destination zones como WAN.
  8. Defina Services como NTP.
  9. Defina Action como Accept.
  10. Salve.

Em exemplos oficiais ou simplificados, Source networks and devices aparece por vezes como Any. Num laboratório é prático, mas em produção raramente é a melhor escolha. É mais limpo usar um objeto de rede concreto como LAN_NET, IOT_NET ou um pequeno grupo de hosts, para que fique claro que dispositivos podem usar este encaminhamento NTP.

A regra é limitada principalmente por Source Zone, Source Network, serviço, posição de regra e alvo NAT. Se Destination networks também for usado, você deverá verificar o efeito em Log Viewer, porque as regras DNAT podem alterar o endereço de destino visível na análise.

Regra Sophos Firewall para redirecionamento NTP
Regra Sophos Firewall: Permitir apenas NTP das redes internas pretendidas para o servidor de horário definido.
Quando se trata da regra, você não deve prestar atenção apenas à função, mas também à legibilidade. Um nome como LAN_to_NTP_time_google ou IOT_to_NTP_internal é posteriormente mais fácil de entender do que uma regra genérica com Any.

O login nesta regra é útil para a introdução. Após o teste, você poderá ver no Log Viewer de qual rede cliente veio a solicitação, qual Firewall Rule ID foi utilizado e se o NAT Rule ID esperado também está visível. Se nenhum ID de regra ou a regra errada aparecer, a ordem ou correspondência da regra é mais importante do que a própria configuração NTP.

Para estrutura de regras, sequência, Services e registro em log, Compreender e configurar corretamente as regras Sophos Firewall também é adequado.

Variante B: Use servidor interno NTP

Esta variante é adequada se um controlador de domínio interno, servidor de horário Linux ou outro sistema interno for a fonte de horário para clientes, mas os clientes continuarem a usar o firewall IP como um servidor NTP.

Dois pares de regras são necessários aqui:

FinalidadeRegra NATRegra de firewall
Servidor interno NTP sincroniza com externoSNAT/MASQ do servidor NTP interno para NTP externoServidor interno NTP permite NTP para WAN
Os clientes usam firewall-IP como alvo NTPDNAT do firewall IP para o servidor interno NTPClientes internos têm permissão NTP para o servidor interno NTP

Criar host para servidor interno NTP

O caminho do menu é:

Hosts and services

Procedimento:

  1. Selecione Add.
  2. Defina Nome, por exemplo NTP_Server_Internal.
  3. Defina IP version como IPv4 se IPv4 for usado.
  4. Defina Type como IP.
  5. Insira IP address do servidor interno NTP.
  6. Salve.

Par de regras 1: servidor NTP interno sincroniza externamente

Primeiro, o servidor NTP interno deve ser capaz de acessar ele próprio um servidor de horário externo, caso ainda não esteja sincronizado em outro lugar.

Regra NAT:

  1. Abra Rules and policies > NAT rules.
  2. Selecione Add NAT rule > New NAT rule.
  3. Defina Rule name, por exemplo SNAT_Internal_NTP_to_WAN.
  4. Defina Rule position como Top ou coloque-a adequadamente acima de regras NAT amplas.
  5. Configure Original source para hospedar NTP_Server_Internal.
  6. Para Original service, remova Any e selecione NTP.
  7. Para Translated source (SNAT) selecione MASQ.
  8. Salve.

Regra de firewall:

  1. Abra Rules and policies > Firewall rules.
  2. Selecione Add firewall rule > New firewall rule.
  3. Defina Rule name, por exemplo Internal_NTP_to_WAN.
  4. Ative Log firewall traffic.
  5. Configure Source zones para a zona do servidor interno NTP, por exemplo LAN.
  6. Defina Source networks and devices como NTP_Server_Internal.
  7. Defina Destination zones como WAN.
  8. Defina Services como NTP.
  9. Salve.

Par de regras 2: Orientar clientes para o servidor interno NTP via firewall-IP

O encaminhamento real é então construído: os clientes enviam NTP para o firewall-IP, o firewall encaminha para o servidor NTP interno.

Regra NAT:

  1. Abra Rules and policies > NAT rules.
  2. Selecione Add NAT rule > New NAT rule.
  3. Defina Rule name, por exemplo DNAT_Client_NTP_to_Internal.
  4. Defina Rule position como Top ou coloque-a acima de regras NAT gerais.
  5. Configure Original source para as redes internas do cliente afetadas.
  6. Configure Original destination para o firewall ou Gateway-IP que os clientes usam como destino NTP.
  7. Para Original service, remova Any e selecione NTP.
  8. Para Translated source (SNAT), selecione MASQ.
  9. Para Translated destination (DNAT) selecione NTP_Server_Internal.
  10. Salve.

Também aqui Original destination é decisivo: a regra deve traduzir apenas pedidos NTP dirigidos ao IP do firewall ou gateway. Se este campo permanecer demasiado amplo, o firewall também pode capturar pedidos NTP que os clientes queriam enviar diretamente para outro servidor de horário.

Regra de firewall:

  1. Abra Rules and policies > Firewall rules.
  2. Selecione Add firewall rule > New firewall rule.
  3. Defina Rule name, por exemplo LAN_to_Internal_NTP.
  4. Ative Log firewall traffic.
  5. Configure Source zones para as zonas clientes internas. Evite WAN e Any.
  6. Configure Source networks and devices para as redes de clientes afetadas.
  7. Configure Destination zones para a zona do servidor NTP interno, por exemplo LAN ou DMZ.
  8. Defina Services como NTP.
  9. Salve. Se uma Rede de destino também estiver definida, você deverá testar especificamente se a regra de firewall continua a corresponder de acordo com DNAT. Para aceitação inicial, rede de origem, zona de destino, serviço, regra NAT e Log Viewer são geralmente os pontos de controle mais claros.

Se o próprio servidor NTP interno for um controlador de domínio, você deverá definir o escopo com especial cuidado. Nem toda rede cliente precisa acessar diretamente todos os controladores de domínio. NTP pode ser permitido sem abrir acessos igualmente amplos ao controlador de domínio.

Operações, segurança e testes

Classifique IPS e recursos de segurança

NTP é tecnicamente um pequeno serviço UDP, mas UDP 123 também se torna relevante na prática para abuso, configuração incorreta ou alvos externos indesejados. Se uma licença de proteção de rede estiver disponível, uma política IPS adequada na regra de firewall poderá fazer sentido.

Mais importante do que tantos recursos de segurança quanto possível com o NTP é um design compacto:

  • Source Zone somente interno: evita que o firewall atue como um relé NTP público.
  • Redes de origem especificamente: limita NTP a clientes, servidores ou dispositivos que realmente precisam desse encaminhamento.
  • Definir Destination Server: evita qualquer servidor de horário externo e torna os logs avaliáveis.
  • Serviço somente NTP: evita uma regra UDP muito ampla.
  • Ativar registro: mostra em Log Viewer se Firewall Rule ID e NAT Rule ID funcionam conforme esperado.

O IPS deve, portanto, ser visto como um controlo adicional e não como um substituto para uma regra limpa. Se a regra NTP permitir apenas algumas redes internas para um servidor de horário definido, o ganho de segurança mais importante já é alcançado por meio do escopo e da rastreabilidade. Quando um grande número de redes, dispositivos pouco claros ou áreas de IoT/OT estão envolvidos, uma política de IPS direcionada torna-se mais interessante.

Regra IPS Sophos Firewall para tráfego NTP
Selecione a política IPS para o tráfego NTP conscientemente e não a aplique cegamente a todas as redes.
Sophos Firewall Adicionar nova regra IPS para NTP
Crie uma nova regra IPS com filtro apropriado para o caso de uso NTP.

⚠️ O IPS requer uma licença de proteção de rede adequada. Se o IPS estiver habilitado em uma regra muito utilizada, os logs e o desempenho deverão ser monitorados. Para o encaminhamento NTP simples, o escopo limpo é mais importante do que uma combinação desnecessariamente ampla de recursos de segurança.

Se uma política IPS dedicada for usada para esse fim, ela não deverá ser copiada para todas as redes internas. Faz mais sentido ter uma regra pequena com uma origem clara, um destino NTP definido, registro ativo e controle subsequente no Log Viewer.

Outros recursos de segurança devem ser tratados deliberadamente com cautela com NTP. Para este serviço UDP simples, Web Filtering, TLS Inspection, Application Control ou Malware Scan geralmente não ajudam com a função NTP real. Se tais perfis estiverem ativos em uma regra coletiva, deve-se verificar se NTP estaria melhor colocado em sua própria regra pequena.

Distribua NTP de forma limpa com DHCP

Se os clientes receberem sua configuração de rede via DHCP, você deve verificar se um encaminhamento NAT é mesmo necessário. Para muitos ambientes, é mais fácil distribuir o servidor NTP desejado diretamente via DHCP.

Se houver um controlador de domínio ou servidor de horário central, a opção DHCP 42 poderá apontar diretamente para esse servidor. NAT é particularmente útil se os dispositivos já usam o Gateway-IP ou são difíceis de reconfigurar. Para opções especiais de DHCP, Sophos Firewall Configurar opções de DHCP é um começo melhor.

Verifique a hora do sistema do firewall separadamente

O redirecionamento do cliente NTP não é igual ao horário do sistema Sophos Firewall. Ambos devem ser verificados separadamente:

  • Hora do sistema de firewall: relevante para Log Viewer, certificados, MFA, VPN, autenticação WAF, relatórios, Syslog e análise de suporte.
  • Cliente-NTP via NAT: Dispositivos na rede interna recebem tempo por meio do Gateway-IP ou de um endereço NTP redirecionado.

Se o próprio firewall tiver uma hora ou fuso horário incorreto, as entradas de log poderão ser difíceis de correlacionar, as verificações de certificados poderão falhar ou a autenticação baseada em tempo, como TOTP/MFA, poderá causar problemas. Em seguida, a hora do sistema do firewall e o acesso do firewall NTP devem ser corrigidos primeiro. Só então faz sentido validar o cliente NTP via NAT.

Para ambientes SIEM ou Syslog, este ponto é particularmente importante: o firewall pode rotear corretamente o tráfego NTP e ainda enviar carimbos de data/hora incorretos para um SIEM se seu próprio horário ou fuso horário estiver incorreto.

Para encaminhamento de log, Enviar Sophos Firewall Syslog para SIEM é adequado. Para problemas MFA, MFA para Sophos Firewall WebAdmin, VPN Habilitar Portal e Acesso Remoto também deve ser incluído.

Teste NTP e isole erros

Após salvar, você não deve apenas verificar se a regra existe. O que é crucial é se um cliente pode realmente sincronizar NTP e se o NAT esperado e a regra de firewall foram atendidos.

O teste começa da mesma forma para ambas as variantes: Um cliente da rede afetada usa o firewall ou Gateway-IP como servidor NTP. Uma sincronização de horário é então acionada ou uma breve espera é realizada até que o cliente envie NTP.

Em Log Viewer você filtra por serviço NTP ou UDP 123.

Com a variante A deve estar visível:

  • O cliente vem da rede interna esperada.
  • A regra de firewall NTP para ocorrências NTP externas.
  • A regra DNAT corresponde à fonte de horário externa.
  • O destino é o servidor NTP externo planejado.

Duas coisas devem ser verificadas para a variante B:

  • O servidor NTP interno tem permissão para enviar NTP externamente.
  • Os clientes são roteados via DNAT do firewall-IP para o servidor interno NTP. Se Log Viewer não mostrar claramente qual regra se aplica, Diagnostics > Captura de pacotes ajudará. Lá você deve verificar se os pacotes do cliente para UDP 123 chegam no firewall e se os pacotes continuam para o servidor de horário externo ou interno esperado.

Se nenhum log estiver visível, a solicitação não poderá ser enviada ao cliente, a regra do firewall não estará registrando ou o tráfego seguirá um caminho diferente. Teste a regra de firewall com Log Viewer, Policy Test e Packet Capture é adequado para a verificação sistemática.

Para problemas NTP específicos do firewall, o log do cliente NTP também é relevante. A visão geral do log está em Sophos Firewall Solução de problemas: Services e logs.

Aceitação curta

Antes da conclusão produtiva, cinco pontos devem estar corretos:

  1. Os clientes realmente usam o firewall ou Gateway-IP como servidor NTP.
  2. As regras NTP permitem apenas as redes de origem internas pretendidas.
  3. Os Firewall Rule ID e NAT Rule ID esperados estão visíveis no Log Viewer.
  4. A hora do sistema do firewall está correta separadamente.
  5. Após DHCP, VLAN, NAT ou alterações de regras, NTP será testado novamente.

Erros típicos

  • WAN permitido como Source Zone: O firewall pode agir involuntariamente como um relé NTP aberto. Limite as zonas de origem às zonas internas.
  • Any para origem e destino: A regra é difícil de controlar. Defina redes de origem e servidores de destino especificamente.
  • Regra NAT presente, mas nenhuma regra de firewall: O tráfego é traduzido, mas não é permitido. Verifique Log Viewer para ID de regra e ID NAT.
  • Regra de firewall sem registro: A análise de erros torna-se desnecessariamente difícil. Ative Log firewall traffic pelo menos durante o teste.
  • O destino FQDN não é resolvido: O destino DNAT não foi alcançado. Verifique a resolução DNS do firewall.
  • O cliente usa outro servidor NTP: A regra nunca é atendida. Verifique a configuração do cliente ou a opção DHCP.
  • Servidor de horário não responde: O cliente permanece não sincronizado. Verifique o servidor de destino, roteamento e UDP 123.

PERGUNTAS FREQUENTES

O Sophos Firewall pode funcionar como um servidor NTP real?

Este padrão não configura um servidor NTP completo no firewall. O firewall encaminha solicitações NTP para um servidor de horário definido via NAT. Isso é suficiente para muitos cenários legados ou Gateway-IP, mas deve ser planejado conscientemente.

Qual porta é usada para NTP?

NTP normalmente usa UDP 123. No Sophos Firewall existe um serviço predefinido para isso, NTP, que pode ser usado em NAT e regras de firewall.

Você deve configurar NTP via NAT ou via DHCP?

Se os clientes puderem ser controlados adequadamente via DHCP, o DHCP geralmente é a melhor solução. NAT é útil quando os dispositivos já usam o Gateway-IP como um servidor NTP ou são difíceis de reconfigurar.

A regra NTP pode ser acessível a partir do WAN?

Não, para este cenário WAN não deve ser usado como Source Zone. A regra se destina a redes internas, não como um serviço público NTP.

Por que NTP é importante para a operação do firewall?

A hora correta é importante para logs, certificados, autenticação MFA, VPN, WAF, correlação SIEM e solução de problemas. Carimbos de data/hora incorretos complicam a análise e podem causar problemas de autenticação.

O redirecionamento NTP é suficiente se o próprio firewall tiver hora errada?

O redirecionamento NTP pode lidar corretamente com as solicitações do cliente, mas não aciona a hora incorreta do sistema de firewall. A hora, o fuso horário e o acesso NTP do próprio firewall devem estar corretos separadamente.