Warum benötigt NTP bidirektionalen Firewall-Zugriff auf UDP-Port 123?

Question

Warum benötigt NTP bidirektionalen Firewall-Zugriff auf UDP-Port 123?

Von Was sind die iptables-Regeln, um ntp zuzulassen?:

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

Auch von die NTP-Website:

... ntpd erfordert vollen bidirektionalen Zugriff auf den privilegierten UDP-Port 123. ...

Meine Frage ist, warum? Für jemanden, der nicht mit NTP vertraut ist, scheint dies eine potenzielle Sicherheitslücke zu sein, insbesondere wenn ich einen Client von mir auffordere, diesen Port in seiner Firewall zu öffnen, damit meine Server ihre Zeit synchron halten können. Tun hat jemand eine anständige Begründung, die ich meinem Kunden geben kann, um ihn davon zu überzeugen, dass ich diesen Zugriff in der Firewall benötige? Hilfe wird geschätzt! :)

17

linux ntp firewall

Author: Community, 2014-06-02

Source

4 answers

NTP erfordert bidirektionalen Zugriff auf Port 123, da der NTP RFC Folgendes bezüglich des Quellports des Clients angibt:

Bei symmetrischem Betrieb (1 und 2) muss dieses Feld den von der IANA zugewiesenen NTP-Portnummer-PORT (123) enthalten.

Da der Quellport des Clients 123 ist, sendet der Server die Antwort zurück, wenn er sie an Port 123 sendet. Um diese Antwort empfangen zu können, muss der Client natürlich Folgendes zulassen eingehende Antworten auf port 123. Normalerweise würden Antworten auf einen ephemeren Port Bereich zurückkommen.

Als Ben Cook - oben erwähnt, ist dies nur erforderlich, wenn der Umgang mit einer statusfreien firewall als eine statusbehaftete firewall erlauben würde, die Antwort zurück zu kommen, ohne eine explizite Regel.

1

Author: Gurpreet Atwal,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2019-05-06 06:01:34

Ich denke, dass die beste Lösung darin besteht, Port 123 für die Eingabe zu aktivieren, nur für die IP-Adressen, von denen erwartet wird, dass sie Ihrem Server das NTP-Signal geben.
In der ntp-Konfigurationsdatei /etc / ntp.es gibt jedoch die Adressen mehrerer NTP-Server, auf die Ihr Server zeigen sollte. Sie können den Suchbefehl verwenden, um die entsprechende IP für jede Adresse zu finden.

host -t a 0.debian.pool.ntp.org

Anschließend können Sie die Regel zur Serverfirewall hinzufügen:

iptables -I INPUT -p udp -s 94.177.187.22 -j ACCEPT

...und so weiter.
Dies kann jede böswillige Person verhindern um Ihren Server zu beschädigen.
Ich denke, es nützt nichts, die Ausgabe einzuschränken.

-1

Author: Leonardo Gugliotti,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2017-05-29 13:24:49

Die Kommunikation von NTP-Server zu Server ist Quell - und Zielport 123. Es ist am bequemsten, dies zumindest den Hosts, auf denen Sie einen NTP-Dienst ausführen, explizit zuzulassen.

Sie können erwägen, nur einen externen Host dem Internet auszusetzen, um Zeit von externen Quellen zu erhalten. Ein interner NTP-Dienst, der mit diesem synchronisiert wird, kann die Quelle für alle Geräte sein. Wenn diese Hosts dem Zweck gewidmet sind, ist die mögliche Exposition begrenzt: Sie akzeptieren nur NTP-Datenverkehr und speichern nicht andere Daten.

Verwenden Sie alternativ überhaupt kein externes IP-Netzwerk. Verwenden Sie zum Beispiel eine Funkquelle wie GPS für die Zeit.

Http://www.diablotin.com/librairie/networking/firewall/ch08_13.htm http://support.ntp.org/bin/view/Support/TroubleshootingNTP

-2

Author: John Mahowald,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2014-12-29 06:19:16

score 10 · Accepted Answer

Sie müssen NTP-Ports für eingehenden Datenverkehr nur zulassen, wenn Sie als Server fungieren und Clients die Synchronisierung mit Ihnen ermöglichen.

Andernfalls bestimmt das Vorhandensein eines NTP-Status automatisch, ob das eingehende NTP-Paket von einem von uns initiierten Firewall-Status blockiert oder zugelassen wird.

Iptables-A OUTPUT -p udp --sport 123 --dport 123 -j ACCEPT

Iptables -A INPUT-m state --state ESTABLISHED,RELATED-j ACCEPT

Bitte lassen Sie mich wissen, wenn die iptables Regeln sind richtig. Ich habe keine Erfahrung mit iptables. Mein NTP-Client bleibt auf meinem pfSense-Router nur mit einer ausgehenden Zulassungsregel synchronisiert, da pfSense eine Stateful Firewall ist.