Tại sao NTP yêu cầu truy cập tường lửa hai chiều vào cổng UDP 123?

Từ các quy tắc iptables để cho phép ntp là gì? :

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

Ngoài ra, từ trang web của NTP :

... ntpd yêu cầu quyền truy cập hai chiều đầy đủ vào cổng UDP đặc quyền 123. ...

Câu hỏi của tôi là, tại sao? Đối với một người không quen thuộc với NTP, đây có vẻ như là một lỗ hổng bảo mật tiềm ẩn, đặc biệt là khi tôi yêu cầu một khách hàng của tôi mở cổng đó trong tường lửa của họ để máy chủ của tôi có thể giữ đồng bộ hóa thời gian của họ. Có ai có một lời biện minh đàng hoàng tôi có thể đưa ra cho khách hàng của mình để thuyết phục họ rằng tôi cần quyền truy cập này trong tường lửa không? Giúp đỡ được đánh giá cao! :)

Bạn chỉ cần cho phép các cổng của NTP lưu lượng truy cập đến nếu bạn đang hoạt động như một máy chủ, cho phép khách hàng đồng bộ hóa với bạn.

Mặt khác, sự tồn tại của trạng thái NTP sẽ tự động xác định xem gói NTP đến có bị chặn hoặc cho phép bởi trạng thái tường lửa hiện có mà chúng tôi đã khởi tạo hay không.

iptables -A OUTPUT -p udp --sport 123 --dport 123 -j CHẤP NHẬN

iptables -A INPUT -m state --state THÀNH LẬP, LIÊN QUAN -j CHẤP NHẬN

Xin vui lòng cho tôi biết nếu các quy tắc iptables là đúng. Tôi không có kinh nghiệm với iptables. Máy khách NTP của tôi vẫn được đồng bộ hóa trên bộ định tuyến pfSense của tôi chỉ với quy tắc cho phép gửi đi vì pfSense là tường lửa có trạng thái.

NTP yêu cầu truy cập hai chiều trên cổng 123 vì NTP RFC chỉ định những điều sau đây liên quan đến cổng nguồn của máy khách:

Khi hoạt động ở chế độ đối xứng (1 và 2), trường này phải chứa số cổng NTP PORT (123) được chỉ định bởi IANA.

Vì cổng nguồn của máy khách là 123, khi máy chủ gửi phản hồi trở lại, nó sẽ gửi nó đến cổng 123. Đương nhiên, để có thể nhận được phản hồi đó, khách hàng phải cho phép phản hồi đến trên cổng 123. Thông thường các phản hồi sẽ quay trở lại một chút phạm vi cổng phù du .

Như Ben Cook đã đề cập ở trên, điều này chỉ được yêu cầu khi xử lý tường lửa không trạng thái vì tường lửa có trạng thái sẽ cho phép phản hồi quay lại mà không có quy tắc rõ ràng.

Tôi nghĩ rằng giải pháp tốt nhất là kích hoạt cổng 123 cho đầu vào, chỉ cho các địa chỉ IP dự kiến ​​sẽ cung cấp cho máy chủ của bạn tín hiệu ntp.
Bên trong tệp cấu hình ntp, /etc/ntp.conf, có các địa chỉ của một số máy chủ ntp mà máy chủ của bạn sẽ trỏ vào. Bạn có thể sử dụng lệnh tra cứu để tìm ip tương ứng cho mỗi địa chỉ.

host -t a 0.debian.pool.ntp.org

Sau đó, bạn có thể thêm quy tắc vào tường lửa máy chủ:

iptables -I INPUT -p udp -s 94.177.187.22 -j ACCEPT

... vân vân.
Điều này có thể ngăn chặn bất kỳ người độc hại làm hỏng máy chủ của bạn.
Tôi nghĩ rằng nó không được sử dụng hạn chế đầu ra.

Giao tiếp từ máy chủ đến máy chủ là cổng nguồn và cổng đích 123. Điều thuận tiện nhất là cho phép rõ ràng rằng ít nhất là đối với các máy chủ mà bạn đang chạy dịch vụ ntp.

Bạn có thể xem xét chỉ để lộ một máy chủ bên ngoài ra Internet để có thời gian từ các nguồn bên ngoài. Dịch vụ ntp nội bộ đồng bộ hóa với điều này có thể là nguồn cho tất cả các thiết bị. Nếu các máy chủ này được dành riêng cho mục đích thì khả năng phơi nhiễm có thể bị hạn chế: họ chỉ chấp nhận lưu lượng ntp và không lưu trữ dữ liệu khác.

Thay phiên, không sử dụng một mạng IP bên ngoài. Ví dụ, sử dụng nguồn radio như GPS.

http://www.diablotin.com/librairi/networking/firewall/ch08_13.htm http://support.ntp.org/bin/view/Support/Troubledh BootNTP