怎麼修改NTP Mode6 查詢漏洞。不能關閉ntp服務,企業要求配置ntp時間同步的
- 0關注
- 0收藏,794瀏覽
最佳答案
【規避方式】
(沿用之前的mode6/7漏洞解決方式)
a.
配置ntp-service synchronization acl xxx可以關閉掉mode6/7功能。
(隻能在僅作為server的設備上使用,在NTP客戶端使用會導致無法從外部同步時間)
b.
在目標設備上配置ntp-service peer acl xxx ,
將下遊ntp client(從目標設備同步時間)和上遊ntp server(向目標設備同時時間)的地址 加入ACL xxx的permit規則,其他ntp報文拒收。
————攔截非信任來源的報文
在設備上可以通過如下兩種方式配規避:
1、配置ntp-service access { peer | query | server | synchronization } acl-number
舉個例子, 服務器為A,客戶端為B,C,D, 如果允許B,C,D都對服務器具有時間同步、控製查詢權限,可以配置 ntp-service access peer acl 2000, acl 2000 permit B,C,D
需要將配置了從服務器A同步的所有合法客戶端設備B,C,D,E,F…… 全部加入acl規並允許其對server進行訪問,其他所有ip均無法進行操作
權限等級有4種,分別對應peer、server、synchronization、query。 按客戶需要自己配置
2.通過外部防火牆直接過濾掉其他ip對設備的訪問
- 2024-09-26回答
- 評論(0)
- 舉報
-
(0)
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論