sslug-teknik team mailing list archive

[Troels Arvin <troels@xxxxxxxx>]

On Tue, 01 Feb 2005 11:37:22 +0000, Keld Jørn Simonsen wrote:

> Er det rigtigt at NTP kun kører UDP

Jeg vil ikke 100% afvise, at NTP-protokollen i særtilfælde benytter TCP,
også (ligesom DNS, hvor man normalt benytter UDP, men også TCP i visse
sammenhænge). Mine NTP-dæmoner lytter udelukkende på UDP.

> man så kan lukke for TCP port 123?

Ja, bortset fra, at det er meningsløst, idet der vel ikke er noget, som
lytter dér. Og hvis der endelig skulle være noget, som lytter, ville det
antagelig være en eller anden smart feature i din NTP-software; du
bør da tage dig tid til at læse nærmere om NTP-protokollen før du
blokerer. I fald det skulle være noget "ond" software, der lytter, så
har den onde software haft root-privilegier, og da er dit system alligevel
ikke særlig troværdigt længere.

> Kunne man ikke bede ntpd om ikke at lytte på UDP port 123?

Nej, for så kan den ikke få data ind. UDP arbejder ikke
forbindelsesorienteret, så når man vil have svar på noget, sender man
en UDP-pakke afsted og håber på, at den når frem. Derefter lytter man
på svar-pakker, der (måske) når frem. Hvis man bliver træt af at
vente, starter man forfra (i modsætning til ved TCP, hvor den slags
kræver mindre eksplicit fejlhåndtering).

Principielt kunne NTP-dæmonen sikkert godt fungere ved kun at lytte på
porten engang imellem, men i praksis ville det så vidt jeg kan se ikke
have den store sikkerhedsmæssige effekt.

-- 
Greetings from Troels Arvin, Copenhagen, Denmark