我这有2台交换机S5560-30C-EI和S5560-34C-EI最近扫描出了NTP Mode 6 检测漏洞,现在要限制NTP Mode 6 查询。该如何操作啊。
(0)
最佳答案
参考如下解决:扫描漏洞 Network Time Protocol (NTP) Mode 6 Scanner
【规避方式】
(沿用之前的mode6/7漏洞解决方式)
a.
配置ntp-service synchronization acl xxx可以关闭掉mode6/7功能。
(只能在仅作为server的设备上使用,在NTP客户端使用会导致无法从外部同步时间)
b.
在目标设备上配置ntp-service peer acl xxx ,
将下游ntp client(从目标设备同步时间)和上游ntp server(向目标设备同时时间)的地址 加入ACL xxx的permit规则,其他ntp报文拒收。
————拦截非信任来源的报文
在设备上可以通过如下两种方式配规避:
1、配置ntp-service access { peer | query | server | synchronization } acl-number
举个例子, 服务器为A,客户端为B,C,D, 如果允许B,C,D都对服务器具有时间同步、控制查询权限,可以配置 ntp-service access peer acl 2000, acl 2000 permit B,C,D
需要将配置了从服务器A同步的所有合法客户端设备B,C,D,E,F…… 全部加入acl规并允许其对server进行访问,其他所有ip均无法进行操作
权限等级有4种,分别对应peer、server、synchronization、query。 按客户需要自己配置
2.通过外部防火墙直接过滤掉其他ip对设备的访问
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论