NTP

Network Time Protocol (« protocole d'heure réseau ») ou NTP est un protocole qui permet de synchroniser, via le réseau informatique, l'horloge locale d'ordinateurs sur une référence d'heure.

Dès le début, ce protocole fut conçu pour offrir une précision de synchronisation meilleure que la seconde. Par rapport au service « Time Protocol » qui offre un service d'heure sans proposer une infrastructure, le projet NTP propose une solution globale et universelle de synchronisation qui est utilisable dans le monde entier.

Onglet « IPS »

Versions analysées et autorisées

Cochez les cases correspondant aux versions du protocole NTP que vous souhaitez analyser. Les paquets correspondant aux versions non cochées provoqueront la levée de l'alarme "NTP : version refusée" et seront bloqués par le firewall.

Version 1 En cochant cette case, vous activez l'analyse de prévention d'intrusion pour la version 1 du protocole NTP.
Version 2 En cochant cette case, vous activez l'analyse de prévention d'intrusion pour la version 2 du protocole NTP.
Version 3

En cochant cette case, vous activez l'analyse de prévention d'intrusion pour la version 3 du protocole NTP.

Version 4 En cochant cette case, vous activez l'analyse de prévention d'intrusion pour la version 4 du protocole NTP.

Paramètres généraux

Nombre max. de requêtes en attente Nombre maximum de requêtes sans réponse sur une même session NTP. Cette valeur doit être comprise entre 1 et 512 (valeur par défaut: 10).
Durée max. d'une requête (en secondes) Ce délai fixe une limite au-delà de laquelle les requêtes NTP restées sans réponse sont supprimées. Cette valeur doit être comprise entre 1 et 3600 (valeur par défaut: 10).

Protection contre les attaques de type Time Poisoning

Seuil de décalage d'horloge autorisé (minutes)

Ce paramètre indique la limite de décalage d'horloge susceptible d'être envoyée par un serveur NTP vers un client NTP.

Au delà de la valeur indiquée (valeur par défaut: 20 minutes), la machine cliente émettant les requêtes NTP sera considérée comme étant la cible d'une attaque de type Time Poisoning et déclenchera l’alarme ntp:463 "NTP : possible attaque de type poisoning" (alarme bloquante par défaut) .

Support

Désactiver la prévention d’intrusion

En cochant cette option, l'analyse du protocole NTP sera désactivée et le trafic sera autorisé si la politique de filtrage le permet.

Tracer chaque requête du mode client NTP

Active ou désactive les logs permettant de tracer les requêtes NTP.

Onglet « IPS - NTP v1»

Configuration générale

Taille maximale des paquets (octets) Renseignez la taille maximale autorisée pour les paquets NTP v1 (valeur par défaut: 72 octets).

Modes NTP

Cette liste recense les modes NTP v1 connus (symétrique actif, symétrique passif, client et serveur) et l'action appliquée à chacun d'entre eux.

L'action (Analyser / Bloquer) appliquée à chaque mode peut être modifiée à l'aide d'un double-clic dans la colonne action correspondante.

Configuration avancée

Reference Id interdites

Cette liste permet de bloquer des Reference Id NTP additionnelles (LOCL, LCL...) en précisant leur nom. Il est possible d’Ajouter ou de Supprimer des éléments de cette liste en cliquant sur les boutons du même nom.

Onglet « IPS - NTP v2»

Configuration générale

Taille maximale des paquets (octets) Renseignez la taille maximale autorisée pour les paquets NTP v2 (valeur par défaut: 72 octets).

Modes NTP

Cette liste recense les modes NTP v2 connus (réservé, symétrique actif, symétrique passif, client, serveur, broadcast, messages de contrôle NTP, utilisation privée) et l'action appliquée à chacun d'entre eux.

L'action (Analyser / Bloquer) appliquée à chaque mode peut être modifiée à l'aide d'un double-clic dans la colonne action correspondante.

Configuration avancée

Reference Id interdites

Cette liste permet de bloquer des Reference Id NTP additionnelles (LOCL, LCL...) en précisant leur nom. Il est possible d’Ajouter ou de Supprimer des éléments de cette liste en cliquant sur les boutons du même nom.

Onglet « IPS - NTP v3»

Configuration générale

Taille maximale des paquets (octets) Renseignez la taille maximale autorisée pour les paquets NTP v3 (valeur par défaut: 72 octets).

Modes NTP

Cette liste recense les modes NTP v3 connus (réservé, symétrique actif, symétrique passif, client, serveur, broadcast, messages de contrôle NTP, utilisation privée) et l'action appliquée à chacun d'entre eux.

L'action (Analyser / Bloquer) appliquée à chaque mode peut être modifiée à l'aide d'un double-clic dans la colonne action correspondante.

Configuration avancée

Reference Id interdites

Cette liste permet de bloquer des Reference Id NTP additionnelles (LOCL, LCL...) en précisant leur nom. Il est possible d’Ajouter ou de Supprimer des éléments de cette liste en cliquant sur les boutons du même nom.

Onglet « IPS - NTP v4»

Configuration générale

Taille maximale des paquets (octets) Renseignez la taille maximale autorisée pour les paquets NTP v4 (valeur par défaut: 72 octets).

Modes NTP

Cette liste recense les modes NTP v4 connus (réservé, symétrique actif, symétrique passif, client, serveur, broadcast, messages de contrôle NTP, utilisation privée) et l'action appliquée à chacun d'entre eux.

L'action (Analyser / Bloquer) appliquée à chaque mode peut être modifiée à l'aide d'un double-clic dans la colonne action correspondante.

Configuration avancée

Gestion des Reference Id

Cette grille permet de placer en liste noire ou liste blanche des Reference Id NTP additionnelles (LOCL, LCL...).

Cliquez sur le bouton Block All pour déplacer toutes les Reference Id NTP prédéfinies de la liste blanche vers la liste noire.

Il est également possible d’ajouter ou de supprimer des Reference Id :

  • Cliquez sur le bouton Ajouter et précisez le nom de la Reference Id,
  • Sélectionnez une Reference Id et cliquez sur le bouton Supprimer.

Paquets Kiss of death

Cette grille permet de placer en liste noire ou liste blanche des Reference Id NTP additionnelles pouvant être impliquées dans les attaques de type Kiss of Death (DENY, RSTR, RATELCL...).

Cliquez sur le bouton Block All pour déplacer toutes les Reference Id NTP prédéfinies de la liste blanche vers la liste noire.

Il est également possible d’ajouter ou de supprimer des Reference Id :

  • Cliquez sur le bouton Ajouter et précisez le nom de la Reference Id,
  • Sélectionnez une Reference Id et cliquez sur le bouton Supprimer.