Hoppa till innehållet
Avanet

Sophos Firewall som NTP-relä via NAT

I många nätverk bör klienter, servrar, switchar, åtkomstpunkter eller speciella enheter helt enkelt använda Gateway-IP som en tidsserver. I det här scenariot finns det dock ingen komplett intern NTP-server som körs på Sophos Firewall, som i sig ger tid åt klienterna.

Den praktiska lösningen är ett NTP-relä via NAT. Enheter skickar NTP till brandväggens IP, och Sophos Firewall vidarebefordrar dessa förfrågningar till en verklig extern eller intern tidsserver. Brandväggen blir därmed inte den egentliga tidskällan; den översätter och tillåter motsvarande trafik.

Detta är särskilt användbart om enheter är permanent konfigurerade till Gateway-IP, om en tidigare UTM-miljö har ersatts eller om du vill centralt styra NTP-mål. För nya DHCP-designer är det ofta renare att distribuera rätt tidsserver direkt via DHCP-alternativet. Grunderna finns i Sophos Firewall Konfigurera DHCP-alternativ.

⚠️ Viktigt: Sophos Firewall bör inte tillhandahålla en öppen NTP-tjänst till Internet. Källzoner, källnätverk, målservrar och brandväggsregler måste begränsas medvetet. WAN som Source Zone är vanligtvis felaktigt för detta mönster.

Vilken variant är lämplig?

NTP via NAT är ett pragmatiskt mönster, men inte alltid den bästa arkitekturen.

SituationBättre tillvägagångssätt
Klienter kan kontrolleras rent via DHCPDistribuera NTP-server via DHCP-alternativ 42
Enheter har fastnat med brandväggen eller Gateway-IP som NTP-serverVidarebefordra NTP via NAT till en extern eller intern NTP-server
En intern domänkontrollant eller tidsserver är den centrala tidskällanLed klienter direkt eller via NAT till den interna NTP-servern
Endast individuella IoT, OT eller specialenheter påverkasSkapa små, smala NAT och brandväggsregler

Två varianter är viktiga för den här artikeln:

  • Variant A: Interna enheter använder brandväggen IP som en NTP-server, brandväggen vidarebefordrar till en extern NTP-server.
  • Variant B: Interna enheter använder brandväggen IP som en NTP-server, brandväggen vidarebefordrar till en intern NTP-server. Dessutom måste den interna NTP-servern tillåtas att synkronisera externt.

Den andra varianten behöver därför två NAT-regler och två brandväggsregler. Detta är den punkt som saknas i många korta anteckningar om detta ämne.

Krav

Före konfigurering bör dessa punkter vara tydliga:

  • Vilka interna nätverk får använda NTP?
  • Vilken IP-adress använder klienter som NTP-destination, till exempel Gateway-IP?
  • Vilken riktig NTP-server ska jag använda?
  • Ska en intern tidsserver eller en extern tjänst som time.google.com eller pool.ntp.org användas?
  • Kan brandväggen på ett tillförlitligt sätt lösa DNS för FQDN-mål?
  • Är brandväggens egen systemtid korrekt synkroniserad? Korrekt tid är viktigt för tidskritiska funktioner som MFA, WAF autentisering, certifikat, loggar, VPN och SIEM korrelation. Om själva brandväggen har felaktig tid, bör systemtiden kontrolleras först innan du omdirigerar Client-NTP.

Stegen i den här artikeln baseras på Sophos Firewall 22.0. Menysökvägar och fältnamn kan skilja sig något i äldre eller nyare SFOS-versioner. Konfigurationen hör hemma i Sophos Firewall WebAdmin-gränssnittet eller i noggrant kontrollerad API-/CLI-automatisering. I Sophos Central hanteras denna NAT- och brandväggsregeluppsättning normalt inte som en fristående NTP relay-konfiguration.

Exemplen beskrivs avsiktligt som en IPv4-konfiguration, eftersom Sophos även visar värdskapandet i den officiella guiden med IP version: IPv4. I IPv6- eller dual-stack-miljöer bör detta mönster inte bara kopieras. Först måste det klargöras om klienter verkligen behöver NTP över IPv6, vilka brandväggs- och NAT-funktioner som gäller i den använda SFOS-versionen och om DHCPv6, Router Advertisements eller en direkt intern tidsserver är den renare lösningen.

Quick Reference

För erfarna administratörer är kortlogiken enkel: klienter skickar UDP 123 till brandväggens eller gatewayns IP. En DNAT-regel skriver om destinationen till den verkliga NTP-servern, en brandväggsregel tillåter exakt denna trafik och Log Viewer bekräftar sedan Firewall Rule ID och NAT Rule ID.

Extern NTP-server: en DNAT-regel vidarebefordrar NTP från brandväggens IP till FQDN- eller host-objektet för den externa NTP-servern. En brandväggsregel tillåter NTP från de berörda interna källorna mot WAN. Det kritiska fältet är Original destination: det ska peka på brandväggens eller gatewayns IP.

Intern NTP-server: två flöden krävs. Först måste den interna NTP-servern kunna synkronisera externt via SNAT/MASQ. Sedan vidarebefordrar en DNAT-regel klientförfrågningar från brandväggens IP till den interna NTP-servern. Båda regelparen bör kontrolleras separat i Log Viewer.

Vid första implementeringen bör regelpositionen medvetet vara hög, vanligtvis Top eller ovanför breda LAN-to-WAN- och allmänna NAT-regler. Därefter kan positionen placeras in i det befintliga regelkonceptet, så länge Log Viewer och Packet Capture fortfarande visar att den förväntade regeln matchar först.

Variant A: Använd extern NTP-server

Denna variant är lämplig om klienter ska använda brandväggen IP som en NTP-server och det inte finns någon egen intern tidsserver. Brandväggen översätter NTP-förfrågan till en extern tidsserver, till exempel 1.sophos.pool.ntp.org, time.google.com eller en avsiktligt vald leverantörstidsserver.

Skapa FQDN-värd för extern NTP-server

Menysökvägen är:

Hosts and services > FQDN host

Procedur:

  1. Välj Add.
  2. Tilldela Namn, till exempel NTP_1_sophos_pool.
  3. Ange den externa NTP-servern under FQDN, till exempel 1.sophos.pool.ntp.org.
  4. Spara.

Om en intern eller extern tidsserver med en fast IP används istället för FQDN, kan ett normalt värdobjekt vara mer meningsfullt. Det är viktigt att målet tydligt kan identifieras senare i NAT och brandväggsregeln.

Skapa NAT-regel för den externa NTP-servern

NAT-regeln säkerställer att NTP-förfrågningar till brandväggen IP skrivs om till den externa tidsservern. Menysökvägen är:

Rules and policies > NAT rules

Procedur:

  1. Välj Add NAT rule > New NAT rule.
  2. Ställ in Rule name, till exempel DNAT_Client_NTP_to_External.
  3. Ställ in Rule position till Top eller placera över breda NAT-regler.
  4. Ställ in Original source på det berörda interna nätverket, till exempel LAN_NET eller IOT_NET.
  5. Ställ in Original destination på brandväggen eller Gateway-IP som klienter använder som NTP-server.
  6. För Original service, ta bort Any och välj NTP.
  7. För Translated source (SNAT) välj MASQ.
  8. För Translated destination (DNAT), välj FQDN-värden eller extern NTP-servervärd.
  9. För Inbound interface, välj det interna gränssnittet eller de berörda interna gränssnitten.
  10. Spara.
    Sophos Firewall NAT regel för NTP omdirigering
    Sophos Firewall NAT Regel: NTP förfrågningar till brandväggen IP vidarebefordras till en realtidsserver.

⚠️ Lämna inte Original destination öppen: om Original destination inte begränsas till brandväggens eller gatewayns IP kan regeln få en mycket bredare effekt beroende på den övriga NAT-designen. Då kan inte bara trafik till brandväggens IP vidarebefordras, utan NTP-trafik från nätet kan också styras om transparent. För ett kontrollerat relä ska regeln bara matcha när klienter verkligen använder brandväggens eller gatewayns IP som NTP-destination. I den detaljerade vyn bör du vara särskilt uppmärksam på fyra punkter: Den ursprungliga destinationen måste verkligen vara brandväggen eller Gateway-IP, tjänsten måste förbli begränsad till NTP eller UDP 123, den översatta destinationen måste peka på den planerade tidsservern och SNAT bör passa returvägen.

Detaljerad vy av Sophos Firewall NAT regel för NTP
Detaljerad vy av regeln NTP-NAT: källnätverk, brandvägg IP, NTP-tjänsten och det översatta målet måste matcha.
Om NAT-grunderna eller DNAT-fälten är oklara hjälper Förstå NAT på Sophos Firewall: SNAT, DNAT, MASQ, PAT. Där förklaras också varför NAT inte ersätter en brandväggsregel.

Tillåt brandväggsregel för extern NTP

Enligt regeln NAT krävs en lämplig brandväggsregel. Detta tillåter NTP trafik från de interna nätverken till målservern. Menysökvägen är:

Rules and policies > Firewall rules

Procedur:

  1. Välj Add firewall rule > New firewall rule.
  2. Ställ in Rule name, till exempel LAN_to_External_NTP.
  3. Ställ in Rule positionTop eller placera regeln ovanför allmänna LAN-to-WAN-regler om dessa annars skulle matcha först.
  4. Aktivera Log firewall traffic.
  5. Ställ in Source zones på de interna zonerna, till exempel LAN, DMZ eller en IoT-zon. WAN och Any är felaktiga för detta mönster.
  6. Ställ in Source networks and devices på de berörda nätverken eller enheterna. Inte en filt Any om bara vissa nätverk ska använda NTP.
  7. Ställ in Destination zones till WAN.
  8. Ställ in Services till NTP.
  9. Ställ in Action till Accept.
  10. Spara.

I officiella eller förenklade exempel visas Source networks and devices ibland som Any. Det är bekvämt i labb, men sällan det bästa valet i produktion. Ett konkret nätverksobjekt som LAN_NET, IOT_NET eller en liten host-grupp är renare, så att det senare är tydligt vilka enheter som får använda denna NTP-vidarebefordran.

Regeln begränsas huvudsakligen via Source Zone, Source Network, service, regelposition och NAT-mål. Om Destination networks också ska användas bör du då kontrollera effekten i Log Viewer, eftersom DNAT-regler kan ändra den synliga måladressen i analysen.

Sophos Firewall Regel för NTP omdirigering
Sophos Firewall-regel: Tillåt endast NTP från de avsedda interna nätverken till den definierade tidsservern.
När det kommer till regeln bör du inte bara vara uppmärksam på funktion, utan också på läsbarhet. Ett namn som LAN_to_NTP_time_google eller IOT_to_NTP_internal är senare lättare att förstå än en generisk regel med Any.

Att logga på den här regeln är till hjälp för introduktionen. Efter testet ska du kunna se i Log Viewer vilket klientnätverk begäran kom från, vilken Firewall Rule ID som användes och om den förväntade NAT Rule ID också är synlig. Om inget regel-ID eller fel regel visas är ordningen eller matchningen av regeln viktigare än själva NTP-konfigurationen.

För regelstruktur, ordningsföljd, Services och loggning passar även Förstå och konfigurera Sophos Firewall-regler korrekt.

Variant B: Använd intern NTP-server

Denna variant är lämplig om en intern domänkontrollant, Linux-tidsserver eller annat internt system ska vara tidskälla för klienter, men klienterna fortsätter att använda brandväggen IP som en NTP-server.

Två par regler behövs här:

SyfteNAT regelBrandväggsregel
Intern NTP-server synkroniseras med externSNAT/MASQ från intern NTP-server till extern NTPIntern NTP server tillåter NTP till WAN
Klienter använder brandvägg-IP som NTP-målDNAT från brandvägg IP till intern NTP-serverInterna klienter är tillåtna NTP till den interna NTP-servern

Skapa värd för intern NTP-server

Menysökvägen är:

Hosts and services

Procedur:

  1. Välj Add.
  2. Ange Namn, till exempel NTP_Server_Internal.
  3. Ställ in IP version till IPv4 om IPv4 används.
  4. Ställ in Type till IP.
  5. Ange IP address för den interna NTP-servern.
  6. Spara.

Regelpar 1: Intern NTP-server synkroniseras externt

För det första måste den interna NTP-servern själv kunna nå en extern tidsserver om den inte redan är synkroniserad någon annanstans.

NAT regel:

  1. Öppna Rules and policies > NAT rules.
  2. Välj Add NAT rule > New NAT rule.
  3. Ställ in Rule name, till exempel SNAT_Internal_NTP_to_WAN.
  4. Ställ in Rule positionTop eller placera regeln lämpligt ovanför breda NAT-regler.
  5. Ställ in Original source som värd för NTP_Server_Internal.
  6. För Original service, ta bort Any och välj NTP.
  7. För Translated source (SNAT) välj MASQ.
  8. Spara.

Brandväggsregel:

  1. Öppna Rules and policies > Firewall rules.
  2. Välj Add firewall rule > New firewall rule.
  3. Ställ in Rule name, till exempel Internal_NTP_to_WAN.
  4. Aktivera Log firewall traffic.
  5. Ställ in Source zones till zonen för den interna NTP-servern, till exempel LAN.
  6. Ställ in Source networks and devices till NTP_Server_Internal.
  7. Ställ in Destination zones till WAN.
  8. Ställ in Services till NTP.
  9. Spara.

Regelpar 2: Guide klienter till den interna NTP-servern via brandvägg-IP

Själva vidarebefordran byggs sedan: klienter skickar NTP till brandväggen-IP, brandväggen vidarebefordrar till den interna NTP-servern.

NAT regel:

  1. Öppna Rules and policies > NAT rules.
  2. Välj Add NAT rule > New NAT rule.
  3. Ställ in Rule name, till exempel DNAT_Client_NTP_to_Internal.
  4. Ställ in Rule positionTop eller placera regeln ovanför allmänna NAT-regler.
  5. Ställ in Original source på de berörda interna klientnätverken.
  6. Ställ in Original destination på brandväggen eller Gateway-IP som klienter använder som NTP-destination.
  7. För Original service, ta bort Any och välj NTP.
  8. För Translated source (SNAT), välj MASQ.
  9. För Translated destination (DNAT) välj NTP_Server_Internal.
  10. Spara.

Även här är Original destination avgörande: regeln ska bara översätta NTP-förfrågningar som är adresserade till brandväggens eller gatewayns IP. Om detta fält förblir för brett kan brandväggen också fånga NTP-förfrågningar som klienter egentligen ville skicka direkt till en annan tidsserver.

Brandväggsregel:

  1. Öppna Rules and policies > Firewall rules.
  2. Välj Add firewall rule > New firewall rule.
  3. Ställ in Rule name, till exempel LAN_to_Internal_NTP.
  4. Aktivera Log firewall traffic.
  5. Ställ in Source zones på de interna klientzonerna. Undvik WAN och Any.
  6. Ställ in Source networks and devices på de berörda klientnätverken.
  7. Ställ in Destination zones till zonen för den interna NTP-servern, till exempel LAN eller DMZ.
  8. Ställ in Services till NTP.
  9. Spara. Om ett Destinationsnätverk också är inställt bör du då specifikt testa om brandväggsregeln fortsätter att matcha enligt DNAT. För initial acceptans är källnätverk, destinationszon, tjänst, regeln NAT och Log Viewer vanligtvis de tydligare kontrollpunkterna.

Om den interna NTP-servern i sig är en domänkontrollant, bör du scope särskilt noggrant. Alla klientnätverk behöver inte nå varje domänkontrollant direkt. NTP kan tillåtas utan att öppna lika breda domänkontrollanter.

Drift, säkerhet och testning

Klassificera IPS och säkerhetsfunktioner

NTP är tekniskt sett en liten UDP-tjänst, men UDP 123 blir också relevant i praktiken för missbruk, felkonfiguration eller oönskade externa mål. Om en nätverksskyddslicens är tillgänglig kan en lämplig IPS-policy för brandväggsregeln vara vettig.

Viktigare än så många säkerhetsfunktioner som möjligt med NTP är en stram design:

  • endast Source Zone internt: förhindrar brandväggen från att fungera som ett offentligt NTP-relä.
  • Källnätverk specifikt: begränsar NTP till klienter, servrar eller enheter som verkligen behöver denna vidarebefordran.
  • Set Destination Server: förhindrar externa tidsservrar och gör loggar utvärderbara.
  • Endast service NTP: undviker en för bred UDP-regel.
  • Aktivera loggning: visar i Log Viewer om Firewall Rule ID och NAT Rule ID fungerar som förväntat.

IPS bör därför ses som ytterligare kontroll, inte som en ersättning för en ren regel. Om NTP-regeln bara tillåter ett fåtal interna nätverk till en definierad tidsserver, uppnås redan den viktigaste säkerhetsvinsten genom omfattning och spårbarhet. När ett stort antal nätverk, oklara enheter eller IoT/OT-områden är inblandade blir en riktad IPS-policy mer intressant.

Sophos Firewall IPS-regel för NTP-trafik
Välj IPS-policy för NTP-trafik medvetet och tillämpa den inte blint på alla nätverk.
Sophos Firewall Lägg till ny IPS-regel för NTP
Skapa en ny IPS-regel med lämpligt filter för användningsfallet NTP.

⚠️ IPS kräver en lämplig nätverksskyddslicens. Om IPS är aktiverat på en regel som ofta används, bör loggar och prestanda övervakas. För enkel NTP-vidarebefordran är ren scoping viktigare än en onödigt bred säkerhetsfunktionskombination.

Om en dedikerad IPS-policy används för detta ändamål bör den inte kopieras över hela linjen till alla interna nätverk. Det är mer meningsfullt att ha en liten regel med en tydlig källa, ett definierat NTP-mål, aktiv loggning och efterföljande kontroll i Log Viewer.

Andra säkerhetsfunktioner bör medvetet behandlas försiktigt med NTP. För denna enkla UDP-tjänst hjälper Web Filtering, TLS Inspection, Application Control eller Malware Scan vanligtvis inte med den faktiska NTP-funktionen. Om sådana profiler är aktiva på en kollektiv regel bör det kontrolleras om NTP skulle vara bättre placerad i en egen, liten regel.

Fördela NTP rent med DHCP

Om klienterna får sin nätverkskonfiguration via DHCP bör du kontrollera om en NAT-vidarebefordran ens är nödvändig. För många miljöer är det renare att distribuera önskad NTP-server direkt via DHCP.

Om det finns en domänkontrollant eller central tidsserver kan DHCP-alternativet 42 peka direkt till denna server. NAT är särskilt användbart om enheter redan använder Gateway-IP eller är svåra att konfigurera om. För särskilda DHCP-alternativ är konfigurera Sophos Firewall DHCP Options en bättre startpunkt.

Kontrollera brandväggssystemets tid separat

NTP-klientomdirigeringen är inte densamma som Sophos Firewall-systemtiden. Båda bör kontrolleras separat:

  • Brandväggssystemtid: relevant för Log Viewer, certifikat, MFA, VPN, WAF autentisering, rapporter, Syslog och supportanalys.
  • Client-NTP via NAT: Enheter i det interna nätverket får tid via Gateway-IP eller en omdirigerad NTP-adress.

Om själva brandväggen har en felaktig tid eller tidszon kan loggposter vara svåra att korrelera, certifikatkontroller kan misslyckas eller tidsbaserad autentisering som TOTP/MFA kan orsaka problem. Därefter bör brandväggssystemets tid och brandväggens NTP-åtkomst korrigeras först. Först då är det meningsfullt att validera klient NTP via NAT.

För SIEM- eller Syslog-miljöer är denna punkt särskilt viktig: brandväggen kan dirigera NTP-trafik korrekt och fortfarande skicka felaktiga tidsstämplar till en SIEM om dess egen tid eller tidszon är felaktig.

För loggvidarebefordran passar skicka Sophos Firewall Syslog till SIEM. Vid MFA-problem bör även aktivera MFA för Sophos Firewall WebAdmin, VPN Portal och Remote Access tas med.

Testa NTP och isolera fel

Efter att ha sparat ska du inte bara kontrollera om regeln finns. Vad som är avgörande är om en klient verkligen kan synkronisera NTP och om den förväntade NAT och brandväggsregeln uppfylls.

Testet börjar på samma sätt för båda varianterna: En klient från det berörda nätverket använder brandväggen eller Gateway-IP som en NTP-server. En tidssynkronisering triggas sedan eller en kort väntan utförs tills klienten skickar NTP.

I Log Viewer filtrerar du efter tjänst NTP eller UDP 123.

Med variant A ska det synas:

– Klienten kommer från det förväntade interna nätverket.

  • Brandväggsregeln NTP för externa NTP-träffar.
  • Regeln DNAT matchar den externa tidskällan.
  • Målet är den planerade externa NTP-servern.

Två saker bör kontrolleras för variant B:

  • Den interna NTP-servern får skicka NTP externt.
  • Klienterna dirigeras via DNAT från brandväggen-IP till den interna NTP-servern. Om Log Viewer inte tydligt visar vilken regel som gäller, hjälper Diagnostics > Paketfångning. Där bör du kontrollera om paket från klienten till UDP 123 kommer till brandväggen och om paket sedan fortsätter till den förväntade externa eller interna tidsservern.

Om inga loggar är synliga kan förfrågan saknas från klienten, brandväggsregeln kanske inte loggar, eller trafiken tar en annan väg. För den systematiska kontrollen passar testa brandväggsregel med Log Viewer, Policy Test och Packet Capture.

Vid brandväggens egna NTP-problem är även NTP-klientloggen relevant. Loggöversikten finns i Sophos Firewall felsökning: Services och loggar.

Kort acceptans

Innan produktivt slutförande bör fem punkter vara korrekta:

  1. Klienter använder verkligen brandväggen eller Gateway-IP som NTP-server.
  2. NTP-reglerna tillåter endast de avsedda interna källnätverken.
  3. De förväntade Firewall Rule ID och NAT Rule ID är synliga i Log Viewer.
  4. Brandväggssystemets tid är korrekt separat.
  5. Efter DHCP, VLAN, NAT eller regeländringar kommer NTP att testas igen.

Typiska fel

  • WAN tillåtet som Source Zone: Brandväggen kan oavsiktligt agera som ett öppet NTP-relä. Begränsa källzoner till interna zoner.
  • Any för källa och destination: Regeln är svår att kontrollera. Definiera källnätverk och målservrar specifikt.
  • NAT-regeln finns, men ingen brandväggsregel: Trafiken är översatt men inte tillåten. Kontrollera Log Viewer för regel-ID och NAT ID.
  • Brandväggsregel utan loggning: Felanalys blir onödigt svårt. Aktivera Log firewall traffic åtminstone under testet.
  • FQDN-målet löser inte: DNAT-målet uppnås inte. Kontrollera brandväggens DNS-upplösning.
  • Klienten använder en annan NTP-server: Regeln uppfylls aldrig. Kontrollera klientkonfigurationen eller DHCP-alternativet.
  • Tidsservern svarar inte: Klienten förblir osynkroniserad. Kontrollera destinationsservern, routing och UDP 123.

Vanliga frågor

Kan Sophos Firewall fungera som en riktig NTP-server?

Det här mönstret ställer inte upp en fullfjädrad NTP-server på brandväggen. Brandväggen vidarebefordrar NTP-förfrågningar till en definierad tidsserver via NAT. Detta räcker för många äldre eller Gateway-IP-scenarier, men bör planeras medvetet.

Vilken port används för NTP?

NTP använder normalt UDP 123. På Sophos Firewall finns en fördefinierad tjänst för detta, NTP, som kan användas i NAT och brandväggsregler.

Ska du konfigurera NTP via NAT eller via DHCP?

Om klienter kan styras ordentligt via DHCP är DHCP vanligtvis den bättre lösningen. NAT är användbart när enheter redan använder Gateway-IP som en NTP-server eller är svåra att konfigurera om.

Kan NTP-regeln vara tillgänglig från WAN?

Nej, för detta scenario ska WAN inte användas som Source Zone. Regeln är avsedd för interna nätverk, inte som en offentlig NTP-tjänst.

Varför är NTP viktigt för brandväggsdrift?

Korrekt tid är viktigt för loggar, certifikat, MFA, VPN, WAF autentisering, SIEM korrelation och felsökning. Felaktiga tidsstämplar komplicerar analysen och kan orsaka autentiseringsproblem.

Är NTP omdirigering tillräckligt om brandväggen själv har fel tid?

Nej. NTP omdirigering kan hantera klientförfrågningar korrekt, men utlöser inte felaktig brandväggssystemtid. Tiden, tidszonen och brandväggens egen NTP-åtkomst måste vara korrekt separat.