Modos de operación y seguridad de la función NTP para firewalls USG6000E

73 0 1 0

En esta publicación describiremos las configuraciones de las funciones básicas, de actualización y de mantenimiento del Firewall USG6000E.


Continuamos con la revisión del protocolo NTP en un firewall USG6000E, pasemos a la información.


Modos de Operación de NTP

El protocolo NTP soporta los siguientes modos de operación:


Modo Unicast Cliente/Servidor

En este modo, se necesita configurar solo el cliente. El servidor debe configurarse con un solo reloj primario NTP.

Tenga en cuenta que el cliente se puede sincronizar con el servidor, pero el servidor no se puede sincronizar con el servidor.

Después de las configuraciones:

1. El cliente envía un paquete de solicitud de sincronización al servidor, con el campo de modo establecido en 3. El valor 3 indica el modo de cliente.


2. Al recibir el paquete de solicitud, el servidor funciona automáticamente en el modo de servidor y envía un paquete de respuesta con el campo de modo establecido en 4. El valor 4 indica el modo de servidor.


3. Después de recibir el paquete de respuesta, el cliente realiza el filtrado y la selección del reloj y, finalmente, se sincroniza con el servidor más óptimo.


Kiss’-o- Death (KOD) los paquetes proporcionan información útil a un cliente y se utilizan para informes de estado y control de acceso. Cuando KOD está habilitado en el servidor, el servidor puede enviar paquetes con códigos de kiss DENY y RATE al cliente.

¨ Cuando el cliente recibe un paquete con el código de beso DENY, el cliente desmoviliza cualquier asociación con ese servidor y deja de enviar paquetes a ese servidor.


¨ Cuando el cliente recibe un paquete Kiss con el código RATE, el cliente reduce inmediatamente su intervalo de sondeo a ese servidor y continúa reduciéndolo cada vez que recibe un código RATE.


Modo Peer

En este modo, necesita configurar el NTP solo en el extremo activo simétrico. El extremo activo simétrico y el extremo pasivo simétrico se pueden sincronizar entre sí. Tenga en cuenta que el reloj con un estrato inferior está sincronizado con el de un estrato superior.

Después de las configuraciones:

¨ El extremo activo simétrico envía un paquete de solicitud de sincronización al extremo pasivo simétrico con el campo de modo establecido en 1. El valor 1 indica el modo activo simétrico.


¨ Al recibir el paquete de solicitud, el extremo pasivo simétrico funciona automáticamente en modo pasivo simétrico y envía un paquete de respuesta con el campo de modo establecido en 2. El valor 2 indica el modo pasivo simétrico.


Modo Broadcast

En este modo, debe configurar tanto el servidor como el cliente. Después de las configuraciones:

¨ El servidor envía periódicamente paquetes de sincronización de reloj a la dirección de transmisión 255.255.255.255.


¨ El cliente detecta paquetes de broadcast desde el servidor.


¨ Después de recibir el primer paquete de broadcast, para estimar el retraso de la red, el cliente habilita un modelo cliente / servidor temporal para intercambiar mensajes con el servidor remoto.


¨ Luego, el cliente trabaja en modo cliente de broadcast y continúa detectando los paquetes de transmisión entrantes para sincronizar el reloj local.


Modo Multicast

En este modo, debe configurar tanto el servidor como el cliente. Después de las configuraciones:

¨ El servidor envía periódicamente paquetes de sincronización de reloj a la dirección de multicast 224.0.1.1.


¨ El cliente detecta paquetes de multidifusión desde el servidor.


¨ Después de recibir el primer paquete de multicast, para estimar el retraso de la red, el cliente habilita un modelo cliente / servidor temporal para intercambiar mensajes con el servidor remoto.


¨ El cliente trabaja en modo de cliente de multicast y continúa detectando los paquetes de multicast entrantes para sincronizar el reloj local.


Modo Manycast

En este modo, debe configurar tanto el servidor como el cliente. Después de las configuraciones, ocurren las siguientes acciones:

¨ El cliente Manycast envía periódicamente paquetes de sincronización de reloj al servidor Manycast con una dirección de multicast específica. De forma predeterminada, la dirección de multicast es 224.0.1.1.


¨ El servidor manycast detecta muchos paquetes de multicast desde el cliente manycast y responde al cliente con un paquete de unicast.


¨ Después de recibir el primer paquete de unicast por parte de un cliente manycast, para estimar el retraso de la red, el cliente crea una asociación efímera con el servidor para intercambiar paquetes de unicast.


¨ El servidor funciona en modo de manycast y continúa detectando los paquetes de manycast entrantes.


Mecanismos de Seguridad en NTP

NTP proporciona dos mecanismos de seguridad: autoridad de acceso o Access Authority y autenticación NTP o NTP Authentication para garantizar la seguridad de la red.


● Access Authority

El dispositivo protege los servicios NTP locales al establecer la autoridad de acceso. Esta es una medida simple para garantizar la seguridad.

El dispositivo proporciona cuatro niveles de autoridad de acceso. Cuando un mensaje de solicitud de acceso NTP llega al final local, el dispositivo lo compara con la autoridad de acceso del nivel 1 al nivel 4. El primer nivel de autoridad coincidente entra en vigor. La secuencia coincidente es la siguiente:


¨ Peer: indica la autoridad mínima de acceso. El extremo remoto puede realizar solicitudes de tiempo y consultas de control para el servicio NTP local. El reloj local también se puede sincronizar con el reloj del servidor remoto.


¨ Servidor: indica que el extremo remoto puede realizar solicitudes de tiempo y consultas de control para el servicio NTP local. Sin embargo, el reloj local no se puede sincronizar con el reloj del servidor remoto.


¨ Sincronización: indica que el extremo remoto puede realizar solicitudes de tiempo solo para el servicio NTP local.


¨ Consulta: indica la autoridad máxima de acceso. El extremo remoto puede realizar consultas de control solo para el servicio NTP local.


Authentication


La autenticación NTP se puede habilitar en redes que requieren alta seguridad.Al configurar la autenticación NTP, tenga en cuenta las siguientes reglas:


¨ Las configuraciones de la autenticación NTP tanto en el cliente como en el servidor deben estar completas. De lo contrario, la autenticación no tendrá efecto. Si la autenticación NTP está habilitada, debe configurar la clave y declararla como confiable.


¨ Las claves configuradas en el servidor y el cliente deben ser idénticas.


Te invito a visitar la siguiente publicación que es la continuación de esta serie de publicaciones:

Primeros pasos para configurar la función NTP para firewalls USG6000E


Esperando que este tema sea de su interés nos detendremos aquí, pero sigan pendientes de las próximas publicaciones sobre este tema.


FIN


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje