セキュリティ : Cisco IPS 4200 シリーズ センサー

IPS 5.x 以降: IPS での NTP の設定例

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、ネットワーク タイム プロトコル(NTP)を使用して、Cisco Secure Intrusion Prevention System(IPS)のクロックをネットワーク タイム サーバと同期させるための設定例を示します。 Ciscoルータは NTP サーバで設定され、時刻源として NTP サーバ(Ciscoルータ)を使用するために IPS センサーは設定されます。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • NTP サーバはこの NTP 設定を開始する前に Cisco IPS センサーから到達可能である必要があります。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco 4200 シリーズ ソフトウェア バージョン 7.0 およびそれ以降を実行する IPS デバイス

  • Cisco IPS Manager Express (IME)バージョン 7.0.1 および それ 以降

    IME では、Cisco IPS 5.0 およびそれ以降で実行されているセンサー デバイスの監視に使用でき、IME で提供される新しい機能の一部は、Cisco IPS 6.1 またはそれ以降で実行されているセンサーでのみサポートされます。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

このドキュメントは、次のバージョンのハードウェアとソフトウェアにも適用できます。

  • Cisco 4200 シリーズ ソフトウェア バージョン 6.0 およびそれ以前を実行する IPS デバイス

  • Cisco IPS Manager Express (IME)バージョン 6.1.1

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

NTP サーバであるために Ciscoルータを設定して下さい

センサーは時刻源として NTP サーバを使用しようとする場合 NTP サーバの認証された接続を必要とします。 センサーは鍵暗号化のための MD5 ハッシュ アルゴリズムだけサポートします。 Ciscoルータを NTP サーバとして機能し、時刻源として内部クロックを使用するためにアクティブにするのに次のプロシージャを使用して下さい。

Ciscoルータを NTP サーバとして機能するために設定するようにこれらのステップを完了して下さい:

  1. ルータへのログイン。

  2. コンフィギュレーションモードを開始して下さい。

    router#configure terminal
    
  3. キー ID およびキー値を作成して下さい。

    router(config)#ntp authentication-key key_ID md5 key_value
    

    キー ID は 1 と 65535 間の数である場合もあります。 キー値はテキストです(数字または文字)。 それは暗号化された以降です。 次に、例を示します。

    router(config)#ntp authentication-key 12345 md5 123
    

    センサーは MD5 キーだけをサポートします。 キーはルータに既にあるかもしれません。 他のキーがあるように確認する show running configuration コマンドを使用して下さい。 ステップ 4.で信頼できる鍵のためにそれらの値を使用できます。

  4. 信頼できる鍵としてステップ 3 でちょうど作成したキーを指定して下さい(または既存のキーを使用して下さい)。

    router(config)#ntp trusted-key key_ID
    

    信頼できる鍵 ID はステップ 3.のキー ID とたとえば同じ数です:

    router(config)#ntp trusted-key 12345
    
  5. センサーが通信するルータのインターフェイスを規定 して下さい。

    router(config)#ntp source interface_name
    

    次に、例を示します。

    router(config)#ntp source FastEthernet 1/0
    
  6. ここに示されているようにセンサーに割り当てられるべき NTP マスター ストラタム番号を規定 して下さい:

    router(config)#ntp master stratum_number
    

    次に、例を示します。

    router(config)#ntp master 6
    

    NTP マスター ストラタム番号は NTP 階層のサーバの相対的な位置を識別します。 1 と 15 間の数を選択できます。 それはセンサーにとって重要ではないです選択する番号を付ける。

NTP 時刻源を使用するためにセンサーを設定して下さい

センサーを NTP 時刻源を使用するために設定するためにこのセクションのステップを完了して下さい(Ciscoルータはこの例の NTP 時刻源です)。

センサーは一貫した時刻源を必要とします。 NTP サーバを使用するために推奨します。 センサーを時刻源として NTP サーバを使用するために設定するのに次のプロシージャを使用して下さい。 認証されるか、または非認証 NTP を使用できます。

認証された NTP に関しては、NTP サーバのIPアドレス、NTP サーバキー ID、および NTP サーバからのキー値を得て下さい。

センサーを時刻源として NTP サーバを使用するために設定するためにこれらのステップを完了して下さい:

  1. アドミニストレーター特権のアカウントを使用して CLI へのログイン。

  2. ここに示されているようにコンフィギュレーションモードを開始して下さい:

    sensor#configure terminal
    
  3. サービス ホスト モードを開始して下さい。

    sensor(config)# service host
    
  4. NTP は認証された非認証 NTP で設定することができます。

    非認証 NTP を設定するためにこれらのステップを完了して下さい:

    1. NTP コンフィギュレーションモードを開始して下さい。

      sensor(config-hos)#ntp-option enabled-ntp-unauthenticated
      
    2. NTP サーバのIPアドレスを規定 して下さい。

      sensor(config-hos-ena)#ntp-server ip_address
      

      この例で NTP サーバのIPアドレスは 10.1.1.1 です。

      sensor(config-hos-ena)#ntp-server 10.1.1.1
      

      これは Cisco IPS Manager Express を使用して非認証 NTP を設定するプロシージャです:

    1. > 設定される Corp IPS > センサー > 時間『Configuration』 を選択 して下さい。 それからスクリーン ショットに示すように NTP サーバの IP アドレスを提供した後、非認証 NTP の隣でオプション ボタンをクリックして下さい。

    2. [Apply] をクリックします。

      IPS-ntp-config-01.gif

      これは非認証 NTP 設定を完了します。

      認証された NTP を設定するためにこれらのステップを完了して下さい:

    1. NTP コンフィギュレーションモードを開始して下さい。

      sensor(config-hos)#ntp-option enable
      
    2. NTP サーバのIPアドレスを規定 し、ID をキー入力して下さい。 キー ID は 1 と 65535 間の数です。 これは NTP サーバでそのキー ID 既に設定しましたです。

      sensor(config-hos-ena)#ntp-servers ip_address key-id key_ID
      

      この例で NTP サーバのIPアドレスは 10.1.1.1 です。

      sensor(config-hos-ena)#ntp-server 10.1.1.1 key-id 12345
      
    3. キー値 NTP サーバを規定 して下さい。

      sensor(config-hos-ena)#ntp-keys key_ID md5-key key_value
      

      キー値はテキストです(数字または文字)。 これは NTP サーバでそのキー値既に設定しましたです。 次に、例を示します。

      sensor(config-hos-ena)#ntp-keys 12345 md5-key 123
      

      これは Cisco IPS Manager Express を使用して認証された NTP を設定するプロシージャです:

    1. > 設定される Corp IPS > センサー > 時間『Configuration』 を選択 して下さい。 それからスクリーン ショットに示すように NTP サーバの IP アドレスを提供した後、認証された NTP の隣でオプション ボタンをクリックして下さい。

    2. NTP サーバに言及されているように同じである必要があるキーおよびキー ID を提供します。

      この例でキーは 123 であり、キー ID は 12345 です。

    3. [Apply] をクリックします。

      IPS-ntp-config-02.gif

      これは認証された NTP 設定を完了します。

  5. 終了 NTP コンフィギュレーションモード。

    sensor(config-hos-ena)# exit
    
    sensor(config-hos)# exit
    
    Apply Changes:?[yes]
  6. 変更を加えるか、またはそれらを廃棄するために入るためにいいえ『Enter』 を押さない で下さい。

    これで設定タスクが完了しました。

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示しています。

認証された NTP 設定を確認して下さい。 これは認証された NTP 設定が正しくされることを確かめます。

sensor(config-hos-ena)#show settings

   enabled

   -----------------------------------------------

      ntp-keys (min: 1, max: 1, current: 1)

      -----------------------------------------------

         key-id: 12345

         -----------------------------------------------

            md5-key: 123

         -----------------------------------------------

      -----------------------------------------------

      ntp-servers (min: 1, max: 1, current: 1)

      -----------------------------------------------

         ip-address: 10.1.1.1

         key-id: 12345

      -----------------------------------------------

-----------------------------------------------

sensor(config-hos-ena)# 

現在のサブモードに含まれている設定のコンテンツを表示するためにあらゆるサービス コマンド モードで提示設定コマンドを使用して下さい。 これは非認証 NTP 設定が正しくされることを確認します。

sensor(config-hos-ena)#show settings

   enabled-ntp-unauthenticated

   -----------------------------------------------

      ntp-server: 10.1.1.1

   -----------------------------------------------

sensor(config-hos-ena)#

システム クロックを表示するために、示されているように Execモードで show clock コマンドを使用して下さい。 この例は設定され、同期される NTP を示したものです:

sensor#show clock detail

11:45:02 CST Tues Jul 20 2011

Time source is NTP

sensor#

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連情報


Document ID: 111092