Dieses Dokument enthält eine Beispielkonfiguration für die Synchronisierung der Cisco Secure Intrusion Prevention System-Uhr (IPS) mit einem Netzwerkzeit-Server über Network Time Protocol (NTP). Der Cisco Router wird als NTP-Server konfiguriert, und der IPS-Sensor verwendet den NTP-Server (Cisco Router) als Zeitquelle.
Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie diese Konfiguration ausprobieren:
Der NTP-Server muss über den Cisco IPS-Sensor erreichbar sein, bevor Sie diese NTP-Konfiguration starten.
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Cisco IPS-Gerät der Serie 4200 mit Software-Version 7.0 und höher
Cisco IPS Manager Express (IME) Version 7.0.1 und höher
Hinweis: IME kann zwar zur Überwachung von Sensorgeräten verwendet werden, auf denen Cisco IPS 5.0 oder höher ausgeführt wird, einige der neuen Funktionen von IME werden jedoch nur auf Sensoren unterstützt, auf denen Cisco IPS 6.1 oder höher ausgeführt wird.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Sie können dieses Dokument auch mit folgenden Hardware- und Softwareversionen verwenden:
Cisco IPS-Gerät der Serie 4200 mit Softwareversion 6.0 oder höher
Cisco IPS Manager Express (IME) Version 6.1.1
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
Der Sensor benötigt eine authentifizierte Verbindung mit einem NTP-Server, wenn er den NTP-Server als Zeitquelle verwenden soll. Der Sensor unterstützt nur den MD5-Hash-Algorithmus für die Schlüsselverschlüsselung. Gehen Sie wie folgt vor, um einen Cisco Router als NTP-Server zu aktivieren und dessen interne Uhr als Zeitquelle zu verwenden.
Gehen Sie wie folgt vor, um einen Cisco Router als NTP-Server einzurichten:
Melden Sie sich beim Router an.
Wechseln in den Konfigurationsmodus
router#configure terminal
Erstellen Sie Schlüssel-ID und Schlüsselwert.
router(config)#ntp authentication-key key_ID md5 key_value
Bei der Schlüssel-ID kann es sich um eine Zahl zwischen 1 und 65535 handeln. Der Schlüsselwert ist Text (numerisch oder Zeichen). Sie wird später verschlüsselt. Beispiele:
router(config)#ntp authentication-key 12345 md5 123
Hinweis: Der Sensor unterstützt nur MD5-Tasten. Möglicherweise sind auf dem Router bereits Schlüssel vorhanden. Verwenden Sie den Befehl show running configuration, um nach anderen Schlüsseln zu suchen. Sie können diese Werte für den vertrauenswürdigen Schlüssel in Schritt 4 verwenden.
Bestimmen Sie den Schlüssel, den Sie gerade in Schritt 3 erstellt haben, als vertrauenswürdigen Schlüssel (oder verwenden Sie einen vorhandenen Schlüssel).
router(config)#ntp trusted-key key_ID
Die ID des vertrauenswürdigen Schlüssels ist dieselbe Nummer wie die Schlüssel-ID in Schritt 3. Beispiele:
router(config)#ntp trusted-key 12345
Geben Sie die Schnittstelle auf dem Router an, mit dem der Sensor kommunizieren soll.
router(config)#ntp source interface_name
Beispiele:
router(config)#ntp source FastEthernet 1/0
Geben Sie die NTP-Master-Schicht-Nummer an, die dem Sensor zugewiesen werden soll, wie hier gezeigt:
router(config)#ntp master stratum_number
Beispiele:
router(config)#ntp master 6
Hinweis: Die NTP-Master-Schicht-Nummer identifiziert die relative Position des Servers in der NTP-Hierarchie. Sie können eine Zahl zwischen 1 und 15 wählen. Für den Sensor ist es nicht wichtig, welche Nummer Sie wählen.
Führen Sie die Schritte in diesem Abschnitt aus, um den Sensor für die Verwendung der NTP-Zeitquelle zu konfigurieren (in diesem Beispiel ist der Cisco Router die NTP-Zeitquelle).
Der Sensor benötigt eine konsistente Zeitquelle. Es wird empfohlen, einen NTP-Server zu verwenden. Gehen Sie folgendermaßen vor, um den Sensor so zu konfigurieren, dass er den NTP-Server als Zeitquelle verwendet. Sie können authentifiziertes oder nicht authentifiziertes NTP verwenden.
Hinweis: Für authentifiziertes NTP müssen Sie die IP-Adresse des NTP-Servers, die Schlüssel-ID des NTP-Servers und den Schlüsselwert vom NTP-Server abrufen.
Führen Sie die folgenden Schritte aus, um den Sensor so zu konfigurieren, dass er einen NTP-Server als Zeitquelle verwendet:
Melden Sie sich mit einem Konto mit Administratorberechtigungen bei der CLI an.
Wechseln Sie in den Konfigurationsmodus, wie hier gezeigt:
sensor#configure terminal
Wechseln in den Service-Host-Modus
sensor(config)# service host
NTP kann als authentifiziertes und nicht authentifiziertes NTP konfiguriert werden.
Führen Sie die folgenden Schritte aus, um nicht authentifiziertes NTP zu konfigurieren:
Wechseln in den NTP-Konfigurationsmodus
sensor(config-hos)#ntp-option enabled-ntp-unauthenticated
Geben Sie die IP-Adresse des NTP-Servers an.
sensor(config-hos-ena)#ntp-server ip_address
In diesem Beispiel ist die IP-Adresse des NTP-Servers 10.1.1.1.
sensor(config-hos-ena)#ntp-server 10.1.1.1
Mit diesem Verfahren konfigurieren Sie nicht authentifiziertes NTP mit Cisco IPS Manager Express:
Wählen Sie Configuration > Corp-IPS > Sensor Setup > Time aus. Klicken Sie dann auf das Optionsfeld neben Nicht authentifiziertes NTP, nachdem Sie die IP-Adresse des NTP-Servers wie im Screenshot gezeigt eingegeben haben.
Klicken Sie auf Apply (Anwenden).
Damit ist die nicht authentifizierte NTP-Konfiguration abgeschlossen.
Gehen Sie wie folgt vor, um das authentifizierte NTP zu konfigurieren:
Wechseln in den NTP-Konfigurationsmodus
sensor(config-hos)#ntp-option enable
Geben Sie die IP-Adresse und Schlüssel-ID des NTP-Servers an. Die Schlüssel-ID ist eine Zahl zwischen 1 und 65535. Dies ist die Schlüssel-ID, die Sie bereits auf dem NTP-Server eingerichtet haben.
sensor(config-hos-ena)#ntp-servers ip_address key-id key_ID
In diesem Beispiel ist die IP-Adresse des NTP-Servers 10.1.1.1.
sensor(config-hos-ena)#ntp-server 10.1.1.1 key-id 12345
Geben Sie den Schlüsselwert für den NTP-Server an.
sensor(config-hos-ena)#ntp-keys key_ID md5-key key_value
Der Schlüsselwert ist Text (numerisch oder Zeichen). Dies ist der Schlüsselwert, den Sie bereits auf dem NTP-Server eingerichtet haben. Beispiele:
sensor(config-hos-ena)#ntp-keys 12345 md5-key 123
Mit diesem Verfahren konfigurieren Sie authentifiziertes NTP mit Cisco IPS Manager Express:
Wählen Sie Configuration > Corp-IPS > Sensor Setup > Time aus. Klicken Sie dann auf das Optionsfeld neben Authentifiziertes NTP, nachdem Sie die IP-Adresse des NTP-Servers wie im Screenshot gezeigt eingegeben haben.
Geben Sie den Schlüssel und die Schlüssel-ID an, die mit den Angaben im NTP-Server übereinstimmen müssen.
In diesem Beispiel ist der Schlüssel 123 und die Schlüssel-ID 12345.
Klicken Sie auf Apply (Anwenden).
Damit ist die authentifizierte NTP-Konfiguration abgeschlossen.
Beenden des NTP-Konfigurationsmodus
sensor(config-hos-ena)# exit sensor(config-hos)# exit Apply Changes:?[yes]
Drücken Sie die Eingabetaste, um die Änderungen zu übernehmen, oder geben Sie no ein, um sie zu verwerfen.
Damit ist die Konfigurationsaufgabe abgeschlossen.
Diese Abschnitt enthält Informationen, mit denen Sie überprüfen können, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Überprüfen der authentifizierten NTP-Einstellungen Dadurch wird sichergestellt, dass die authentifizierte NTP-Konfiguration korrekt durchgeführt wird.
sensor(config-hos-ena)#show settings enabled ----------------------------------------------- ntp-keys (min: 1, max: 1, current: 1) ----------------------------------------------- key-id: 12345 ----------------------------------------------- md5-key: 123 ----------------------------------------------- ----------------------------------------------- ntp-servers (min: 1, max: 1, current: 1) ----------------------------------------------- ip-address: 10.1.1.1 key-id: 12345 ----------------------------------------------- ----------------------------------------------- sensor(config-hos-ena)#
Um den Inhalt der im aktuellen Untermodus enthaltenen Konfiguration anzuzeigen, verwenden Sie den Befehl show settings in einem beliebigen Dienstbefehlsmodus. Dadurch wird sichergestellt, dass die nicht authentifizierte NTP-Konfiguration korrekt durchgeführt wird.
sensor(config-hos-ena)#show settings enabled-ntp-unauthenticated ----------------------------------------------- ntp-server: 10.1.1.1 ----------------------------------------------- sensor(config-hos-ena)#
Um die Systemuhr anzuzeigen, verwenden Sie den Befehl show clock im EXEC-Modus (wie dargestellt). Dieses Beispiel zeigt das konfigurierte und synchronisierte NTP:
sensor#show clock detail 11:45:02 CST Tues Jul 20 2011 Time source is NTP sensor#
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
11-Nov-2009 |
Erstveröffentlichung |