PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : NTP Dienst sicher oder nicht??



KaaHCeeH
19.01.02, 00:50
Hallo Alle,
ich habe mal eine Frage. Ich würde gerne den NTP / XNTP dienst nutzen um die Zeit auf meinem Server zu synchronisieren. Meine Frage ist ob die nutzung dieses Dienstes auch kein Sicherheitsrisiko darstellt? Ich muss ja den Port bei meiner Firewall freigeben, damit dieser Dienst auch mit seinen Anfragen rein und auch raus gehen kann und weiss eben nicht ob dieser Port auch eine Sicherheitslücke darstellt für Hacker.

Genau dieselbe frage habe ich auch auf ICMP Dienste bezogen. kann ich diese auch aktivieren, ohne dass ich mir sorgen machen muss, dass eine weitere Sicherheitslücke für hacker geöffnet wurde ??

Vielen Dank schon mal an euch !

KaaHCeeH

geronet
19.01.02, 11:54
Mach's so wie ich: Öffne den Port in einem script nur die Zeit lang die du auch brauchst zum syncronisieren...

Grüsse, Stefan

emwe
20.01.02, 23:56
Hallo.
Mir sind zwar zur Zeit keine groesseren Luecken in NTP bekannt, aber das soll nicht so viel heissen.
Grundsaetzlich ist es immer so: man muss den Nutzen, den eine bestimmte Funktionalitaet bietet, immer mit der Sicherheitsluecke abwaegen, die durch Nutzung dieser Funktionalitaet entsteht.
Ich finde den Ansatz von geronet schonmal sehr sicher, was die Sicherheit dieses Hosts angeht - aber ueberleg dir mal, was passiert, wenn jemand per DNS-Spoofing deinem Rechner die falsche Zeit vorspiegelt, um womoeglich einen gerade beginnenden Angriff 10 Monate in die Vergangenheit zu setzen? Denn schließlich sind wir ja alle bequem und tragen nur die DNS-Namen ein, IP-Adressen sind zu lang, stimmts?
Und den Securelevel zwei fuer OpenBSD, der das Zurueckstellen der Uhrzeit verbietet, der verbietet uns, die Firewall-Regeln dynamisch zu aendern.
Es wird immer der Kampf sein zwischen Bequemlichkeit und Sicherheit - und mal ehrlich, eigentlich wolltest du auch arbeiten mit deinem System, oder?
Nachdenklich,
emwe

emwe
20.01.02, 23:58
Nachtrag:
Falls du einen fortgeschritteneren Paketfilter einsetzt, der Stateful Inspection unterstuetzt (wie z.B. iptables oder ipf), dann kannst du auch das einsetzen, um nur Verbindungen zuzulassen, die von deinem Host/Server initiiert wurden.
Spass,
emwe