Este documento fornece uma configuração de exemplo para sincronizar o relógio do Cisco Secure Intrusion Prevention System (IPS) com um servidor de horário de rede usando o Network Time Protocol (NTP). O roteador Cisco é configurado como um servidor NTP e o sensor IPS é configurado para usar o servidor NTP (roteador Cisco) como a origem de tempo.
Certifique-se de atender a estes requisitos antes de tentar esta configuração:
O servidor NTP deve estar acessível a partir do sensor Cisco IPS antes que você inicie esta configuração NTP.
As informações neste documento são baseadas nestas versões de software e hardware:
Dispositivo IPS Cisco 4200 Series com software versão 7.0 e posterior
Cisco IPS Manager Express (IME) versão 7.0.1 e posterior
Observação: embora o IME possa ser usado para monitorar dispositivos de sensor que executam o Cisco IPS 5.0 e posterior, alguns dos novos recursos e funcionalidades fornecidos no IME são suportados apenas em sensores que executam o Cisco IPS 6.1 ou posterior.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Você também pode usar este documento com estas versões de hardware e software:
Dispositivo IPS Cisco 4200 Series que executa as versões de software 6.0 e anteriores
Cisco IPS Manager Express (IME) versão 6.1.1
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
O sensor requer uma conexão autenticada com um servidor NTP se for usar o servidor NTP como fonte de tempo. O sensor suporta apenas o algoritmo de hash MD5 para criptografia de chave. Use o procedimento a seguir para ativar um roteador Cisco para atuar como um servidor NTP e usar seu relógio interno como a origem de tempo.
Conclua estas etapas para configurar um roteador Cisco para atuar como um servidor NTP:
Faça login no roteador.
Entre no modo de configuração.
router#configure terminal
Crie o ID da chave e o valor da chave.
router(config)#ntp authentication-key key_ID md5 key_value
O ID da chave pode ser um número entre 1 e 65535. O valor da chave é texto (numérico ou caractere). É criptografado mais tarde. Por exemplo:
router(config)#ntp authentication-key 12345 md5 123
Observação: o sensor suporta apenas chaves MD5. As chaves podem já existir no roteador. Use o comando de configuração show running para verificar se há outras chaves. Você pode usar esses valores para a chave confiável na etapa 4.
Designe a chave que você acabou de criar na etapa 3 como a chave confiável (ou use uma chave existente).
router(config)#ntp trusted-key key_ID
A ID da chave confiável é o mesmo número que a ID da chave na etapa 3. Por exemplo:
router(config)#ntp trusted-key 12345
Especifique a interface no roteador com a qual o sensor se comunicará.
router(config)#ntp source interface_name
Por exemplo:
router(config)#ntp source FastEthernet 1/0
Especifique o número do stratum mestre do NTP a ser atribuído ao sensor, conforme mostrado aqui:
router(config)#ntp master stratum_number
Por exemplo:
router(config)#ntp master 6
Observação: O número de stratum mestre do NTP identifica a posição relativa do servidor na hierarquia do NTP. Você pode escolher um número entre 1 e 15. Não é importante para o sensor qual número você escolhe.
Conclua as etapas nesta seção para configurar o sensor para usar a origem de tempo NTP (neste exemplo, o roteador Cisco é a origem de tempo NTP).
O sensor requer uma fonte de tempo consistente. É recomendável usar um servidor NTP. Use o procedimento a seguir para configurar o sensor para usar o servidor NTP como sua fonte de tempo. Você pode usar o NTP autenticado ou não autenticado.
Observação: para NTP Autenticado, você deve obter o endereço IP do servidor NTP, a ID da chave do servidor NTP e o valor da chave do servidor NTP.
Conclua estes passos para configurar o sensor para usar um servidor NTP como sua fonte de tempo:
Faça logon na CLI usando uma conta com privilégios de administrador.
Entre no modo de configuração como mostrado aqui:
sensor#configure terminal
Entre no modo host de serviço.
sensor(config)# service host
O NTP pode ser configurado como NTP autenticado e não autenticado.
Conclua estas etapas para configurar o NTP não autenticado:
Entre no modo de configuração do NTP.
sensor(config-hos)#ntp-option enabled-ntp-unauthenticated
Especifique o endereço IP do servidor NTP.
sensor(config-hos-ena)#ntp-server ip_address
Neste exemplo, o endereço IP do servidor NTP é 10.1.1.1.
sensor(config-hos-ena)#ntp-server 10.1.1.1
Este é o procedimento para configurar o NTP Não Autenticado usando o Cisco IPS Manager Express:
Escolha Configuration > Corp-IPS > Sensor Setup > Time. Em seguida, clique no botão de opção ao lado de NTP não autenticado depois de fornecer o endereço IP do servidor NTP como mostrado na captura de tela.
Clique em Apply.
Isso conclui a configuração do NTP não autenticado.
Conclua estas etapas para configurar o NTP Autenticado:
Entre no modo de configuração do NTP.
sensor(config-hos)#ntp-option enable
Especifique o endereço IP do servidor NTP e a ID da chave. O ID da chave é um número entre 1 e 65535. Esta é a ID da chave que você já configurou no servidor NTP.
sensor(config-hos-ena)#ntp-servers ip_address key-id key_ID
Neste exemplo, o endereço IP do servidor NTP é 10.1.1.1.
sensor(config-hos-ena)#ntp-server 10.1.1.1 key-id 12345
Especifique o servidor NTP de valor de chave.
sensor(config-hos-ena)#ntp-keys key_ID md5-key key_value
O valor da chave é texto (numérico ou caractere). Esse é o valor-chave que você já configurou no servidor NTP. Por exemplo:
sensor(config-hos-ena)#ntp-keys 12345 md5-key 123
Este é o procedimento para configurar o NTP Autenticado usando o Cisco IPS Manager Express:
Escolha Configuration > Corp-IPS > Sensor Setup > Time. Em seguida, clique no botão de opção ao lado de NTP autenticado depois de fornecer o endereço IP do servidor NTP como mostrado na captura de tela.
Forneça a chave e o ID da chave que devem ser iguais aos mencionados no servidor NTP.
Neste exemplo, a chave é 123 e a ID da chave é 12345.
Clique em Apply.
Isso conclui a configuração do NTP autenticado.
Saia do modo de configuração do NTP.
sensor(config-hos-ena)# exit sensor(config-hos)# exit Apply Changes:?[yes]
Pressione Enter para aplicar as alterações ou digite no para descartá-las.
Isso conclui a tarefa de configuração.
Esta seção fornece informações que você pode usar para confirmar se sua configuração funciona adequadamente.
Verifique as configurações de NTP Autenticado. Isso garante que a configuração do NTP Autenticado seja feita corretamente.
sensor(config-hos-ena)#show settings enabled ----------------------------------------------- ntp-keys (min: 1, max: 1, current: 1) ----------------------------------------------- key-id: 12345 ----------------------------------------------- md5-key: 123 ----------------------------------------------- ----------------------------------------------- ntp-servers (min: 1, max: 1, current: 1) ----------------------------------------------- ip-address: 10.1.1.1 key-id: 12345 ----------------------------------------------- ----------------------------------------------- sensor(config-hos-ena)#
Para exibir o conteúdo da configuração contida no submodo atual, use o comando show settings em qualquer modo de comando de serviço. Isso verifica se a configuração do NTP não autenticado foi feita corretamente.
sensor(config-hos-ena)#show settings enabled-ntp-unauthenticated ----------------------------------------------- ntp-server: 10.1.1.1 ----------------------------------------------- sensor(config-hos-ena)#
Para exibir o relógio do sistema, use o comando show clock no modo EXEC como mostrado. Este exemplo mostra o NTP configurado e sincronizado:
sensor#show clock detail 11:45:02 CST Tues Jul 20 2011 Time source is NTP sensor#
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
11-Nov-2009 |
Versão inicial |