설명된 대로 DC(도메인 컨트롤러, Windows 2016)를 구성했습니다.여기내 Sophos-UTM에서 시간을 얻으려고요. 그래서 거기에 설명된 대로 GPO를 구성했습니다. 그러나 그 후 서버를 다시 시작하면 w32tm /query /status소스 아래에 로컬 CMOS 시계가 나열되어 있지만 여기에 내 Sophos-UTM의 IP가 나열되어야 하는 명령을 실행할 때, 아니면 내가 틀렸습니까? 위 링크의 스크린샷에서 작성자가 동일한 명령을 실행하면 해당 구성의 올바른 IP가 나열됩니다. 그럼 여기서 무슨 문제가 있는 걸까요?
필요한 모든 포트(UDP 123)는 개방형이며 연결 가능합니다. 나는 그것을 테스트하고 방화벽 구성을 조사했습니다. 테스트 목적으로 DC에서 다음 명령을 실행합니다.w32tm /stripchart /computer:IP-OF-SOPHOS-UTM /dataonly /samples:5
해당 명령을 사용하면 Sophos-UTM에서 5개의 타임스탬프 샘플을 다시 얻을 수 있으므로 방화벽 규칙이 작동하고 구성이 정확합니다. 나도 로그에서 이런 걸 봤어.
이 DC는 vSphere ESXi(무료 버전 7.0.1)에서 실행되는 가상 머신입니다. ESXi-호스트와 게스트 간의 시간 동기화는 다음에 설명된 대로 비활성화됩니다.공식 vmWare 문서.
다음은 명령의 출력입니다.w32tm /query /status
Jump indicator: 0 (no warning)
stratum: 1 (primary reference - synchron. via radio clock)
Precision: -6 (15.625ms per tick)
stem delay: 0.0000000s
stem deviation: 10.0000000s
Reference ID: 0x4C4F434C (source name: "LOCL")
Last successful synchronization time: 07.12.2020 15:04:23
Source: Local CMOS Clock
Polling interval: 6 (64s)
명령의 출력w32tm /query /configuration
[Configuration]
EventLogFlags: 2 (Lokal)
AnnounceFlags: 10 (Lokal)
TimeJumpAuditOffset: 28800 (Lokal)
MinPollInterval: 6 (Lokal)
MaxPollInterval: 10 (Lokal)
MaxNegPhaseCorrection: 172800 (Lokal)
MaxPosPhaseCorrection: 172800 (Lokal)
MaxAllowedPhaseOffset: 300 (Lokal)
FrequencyCorrectRate: 4 (Lokal)
PollAdjustFactor: 5 (Lokal)
LargePhaseOffset: 50000000 (Lokal)
SpikeWatchPeriod: 900 (Lokal)
LocalClockDispersion: 10 (Lokal)
HoldPeriod: 5 (Lokal)
PhaseCorrectRate: 7 (Lokal)
UpdateInterval: 100 (Lokal)
[Time-Provider]
NtpClient (Lokal)
DllName: C:\Windows\SYSTEM32\w32time.DLL (Lokal)
Enabled: 1 (Lokal)
InputProvider: 1 (Lokal)
AllowNonstandardModeCombinations: 1 (Lokal)
ResolvePeerBackoffMinutes: 15 (Richtlinie)
ResolvePeerBackoffMaxTimes: 7 (Richtlinie)
CompatibilityFlags: 2147483648 (Lokal)
EventLogFlags: 0 (Richtlinie)
LargeSampleSkew: 3 (Lokal)
SpecialPollInterval: 900 (Richtlinie)
Type: NTP (Richtlinie)
NtpServer: MY-SOPHOS-UTM-IP,0x5 (Richtlinie)
NtpServer (Lokal)
DllName: C:\Windows\SYSTEM32\w32time.DLL (Lokal)
Enabled: 1 (Lokal)
InputProvider: 0 (Lokal)
AllowNonstandardModeCombinations: 1 (Lokal)
VMICTimeProvider (Lokal)
DllName: C:\Windows\System32\vmictimeprovider.dll (Lokal)
Enabled: 1 (Lokal)
InputProvider: 1 (Lokal)
명령의 출력w32tm /query /peers
Number Peers: 1
Peer: MY-SOPHOS-UTM-IP,0x5
Status: Active
Time remaining: 495.5965885s
Mode: 1 (Symmetrically active)
Stratum: 0 (not specified)
Peer Retrieval Interval: 0 (not specified)
Host polling interval: 4 (16s)
명령 출력w32tm /resync /rediscover
Resynchronize command is sent to the local computer.
The computer was not synchronized because no time data was available.
매우 이상한 행동입니다. 이에 대한 해결책을 갖고 있는 사람이 있나요?
답변1
설립하다해결책문제에 대해서는 많은 시간의 연구 끝에.. 제 경우에는 Hewlett Packard 스위치 HPE OfficeConnect 1820이었습니다.
최신 HP Procurve 모델(1810G 등의 18xx 시리즈)의 기능을 "자동 DoS"라고 합니다. "보안" 섹션과 "고급 보안" 섹션에서 찾을 수 있습니다.
자동 DoS 기능을 활성화하면 다음 조건 중 하나에 따라 트래픽이 차단됩니다.
소스 포트(TCP/UDP)가 대상 포트(NTP, SYSLOG 등)와 동일합니다.
소스 포트(TCP/UDP)는 '특권'이므로 1~1023 범위에 있습니다.
이로 인해 모든 종류의 문제가 발생하지만 먼저 "도대체 왜 레이어 2 장치가 레이어 3을 필터링합니까?"입니다. 이건 정말 미친 짓이야.
NTP가 더 이상 작동하지 않습니다. Syslog 트래픽이 수신되지 않습니다. VPN 트래픽이 도착하지 않을 수 있습니다.
이 문제를 해결하는 데 많은 시간이 걸렸습니다. 처음에는 방화벽을 비난했지만 실제 트래픽은 영향을 받은 스위치의 태그가 지정된 트렁크 포트에 도착했습니다. 대상 장치가 연결된 스위치 포트로 트래픽이 전송되지 않았습니다.
영향을 받는 제품:
HP ProCurve 1810G - J9449A(8포트) 및 J9450A(24포트)
따라서 자동 DoS 보호 기능을 비활성화하면 예상대로 작동합니다. 이제 Windows의 소스가 로컬 CMOS 시계가 아닌 올바른 IP로 나열되어 있으므로 이제 tcpdump에서 트래픽이 표시됩니다. 따라서 HP 스위치를 사용하는 다른 사람들을 위한 솔루션이 될 수도 있습니다.
Prevent UDP Blat Attack더 자세히 조사한 결과 해당 옵션만 비활성화해야 하는 것으로 보입니다 . 말한 바와 같이여기, Prevent UDP Blat Attack – UDP Source and Destination Port match. 그래서 tcpdump를 살펴본 후 내 UTM과 Windows Server가 모두 포트 123을 사용하는 것을 확인했습니다. 따라서 이 옵션이 트래픽을 차단하는 이유는 당연합니다....
다음은 최종 구성의 스크린샷입니다.
