IPS 5.x und höher: NTP auf IPS - Konfigurationsbeispiel

Download-Optionen

  • PDF     (223.4 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (170.8 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (190.7 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:22. Juli 2011
Dokument-ID:111092

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

Dieses Dokument enthält eine Beispielkonfiguration für die Synchronisierung der IPS-Uhr (Cisco Secure Intrusion Prevention System) mit einem Netzwerkzeitserver mithilfe von Network Time Protocol (NTP). Der Cisco Router ist als NTP-Server konfiguriert, und der IPS-Sensor wird so konfiguriert, dass er den NTP-Server (Cisco Router) als Zeitquelle verwendet.

Voraussetzungen

Anforderungen

Stellen Sie sicher, dass Sie diese Anforderungen erfüllen, bevor Sie versuchen, diese Konfiguration durchzuführen:

  • Der NTP-Server muss über den Cisco IPS-Sensor erreichbar sein, bevor Sie diese NTP-Konfiguration starten.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:

  • Cisco IPS-Gerät der Serie 4200 mit Softwareversion 7.0 und höher

  • Cisco IPS Manager Express (IME) Version 7.0.1 und höher

    Hinweis: Obwohl IME zum Überwachen von Sensorgeräten verwendet werden kann, auf denen Cisco IPS 5.0 und höher ausgeführt wird, werden einige der neuen Funktionen und Funktionen von IME nur auf Sensoren unterstützt, auf denen Cisco IPS 6.1 oder höher ausgeführt wird.

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Zugehörige Produkte

Sie können dieses Dokument auch mit den folgenden Hardware- und Softwareversionen verwenden:

  • Cisco IPS-Gerät der Serie 4200 mit Softwareversionen 6.0 und früher

  • Cisco IPS Manager Express (IME) Version 6.1.1

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).

Konfiguration

Konfigurieren eines Cisco Routers als NTP-Server

Der Sensor benötigt eine authentifizierte Verbindung mit einem NTP-Server, wenn er den NTP-Server als Zeitquelle verwenden möchte. Der Sensor unterstützt nur den MD5-Hash-Algorithmus für die Schlüsselverschlüsselung. Verwenden Sie die folgende Prozedur, um einen Cisco Router zu aktivieren, der als NTP-Server fungiert und seine interne Uhr als Zeitquelle verwendet.

Gehen Sie wie folgt vor, um einen Cisco Router als NTP-Server einzurichten:

  1. Melden Sie sich beim Router an.

  2. Wechseln Sie in den Konfigurationsmodus.

    router#configure terminal

  3. Erstellen Sie die Schlüssel-ID und den Schlüsselwert. 

    router(config)#ntp authentication-key key_ID md5 key_value

    Bei der Schlüssel-ID kann es sich um eine Zahl zwischen 1 und 65535 handeln. Der Schlüsselwert ist Text (numerisch oder numerisch). Sie wird später verschlüsselt. Beispiel:

    router(config)#ntp authentication-key 12345 md5 123

    Hinweis: Der Sensor unterstützt nur MD5-Schlüssel. Schlüssel sind möglicherweise bereits auf dem Router vorhanden. Mit dem Befehl show running configuration können Sie nach anderen Schlüsseln suchen. Sie können diese Werte für den vertrauenswürdigen Schlüssel in Schritt 4 verwenden.

  4. Bestimmen Sie den in Schritt 3 erstellten Schlüssel als vertrauenswürdigen Schlüssel (oder verwenden Sie einen vorhandenen Schlüssel).

    router(config)#ntp trusted-key key_ID

    Die Schlüssel-ID ist die gleiche Nummer wie die Schlüssel-ID in Schritt 3. Beispiel:

    router(config)#ntp trusted-key 12345

  5. Geben Sie die Schnittstelle auf dem Router an, mit dem der Sensor kommunizieren soll. 

    router(config)#ntp source interface_name

    Beispiel:

    router(config)#ntp source FastEthernet 1/0

  6. Geben Sie die dem Sensor zuzuweisende NTP-Master-Stratum-Nummer wie folgt an:

    router(config)#ntp master stratum_number

    Beispiel:

    router(config)#ntp master 6

    Hinweis: Die NTP-Master-Stratumnummer gibt die relative Position des Servers in der NTP-Hierarchie an. Sie können eine Zahl zwischen 1 und 15 wählen. Für den Sensor ist es nicht wichtig, welche Nummer Sie wählen.

Konfigurieren des Sensors zum Verwenden einer NTP-Zeitquelle

Führen Sie die Schritte in diesem Abschnitt aus, um den Sensor für die Verwendung der NTP-Zeitquelle zu konfigurieren (in diesem Beispiel ist der Cisco Router die NTP-Zeitquelle).

Der Sensor benötigt eine konsistente Zeitquelle. Es wird empfohlen, einen NTP-Server zu verwenden. Verwenden Sie die folgende Prozedur, um den Sensor so zu konfigurieren, dass er den NTP-Server als Zeitquelle verwendet. Sie können authentifiziertes oder nicht authentifiziertes NTP verwenden.

Hinweis: Für authentifiziertes NTP müssen Sie die IP-Adresse des NTP-Servers, die Schlüssel-ID des NTP-Servers und den Schlüsselwert vom NTP-Server abrufen.

Gehen Sie wie folgt vor, um den Sensor so zu konfigurieren, dass er einen NTP-Server als Zeitquelle verwendet:

  1. Melden Sie sich mit einem Konto mit Administratorrechten bei der CLI an.

  2. Wechseln Sie in den Konfigurationsmodus, wie hier gezeigt:

    sensor#configure terminal

  3. Rufen Sie den Service-Host-Modus auf. 

    sensor(config)# service host

  4. NTP kann als Authenticated und Unauthentication NTP konfiguriert werden.

    Gehen Sie wie folgt vor, um nicht authentifiziertes NTP zu konfigurieren:

    1. Wechseln Sie in den NTP-Konfigurationsmodus.

      sensor(config-hos)#ntp-option enabled-ntp-unauthenticated

    2. Geben Sie die IP-Adresse des NTP-Servers an.

      sensor(config-hos-ena)#ntp-server ip_address

      In diesem Beispiel ist die IP-Adresse des NTP-Servers 10.1.1.1.

      sensor(config-hos-ena)#ntp-server 10.1.1.1

      So konfigurieren Sie nicht authentifiziertes NTP mit Cisco IPS Manager Express:

    1. Wählen Sie Configuration > Corp-IPS > Sensor Setup > Time aus. Klicken Sie dann auf das Optionsfeld neben Nicht authentifiziertes NTP, nachdem Sie die IP-Adresse des NTP-Servers wie im Screenshot gezeigt angegeben haben.

    2. Klicken Sie auf Übernehmen.

      IPS-ntp-config-01.gif

      Damit ist die nicht authentifizierte NTP-Konfiguration abgeschlossen.

      Gehen Sie wie folgt vor, um authentifiziertes NTP zu konfigurieren:

    1. Wechseln Sie in den NTP-Konfigurationsmodus.

      sensor(config-hos)#ntp-option enable

    2. Geben Sie die IP-Adresse und Schlüssel-ID des NTP-Servers an. Die Schlüssel-ID ist eine Zahl zwischen 1 und 65535. Dies ist die Schlüssel-ID, die Sie bereits auf dem NTP-Server eingerichtet haben. 

      sensor(config-hos-ena)#ntp-servers ip_address key-id key_ID

      In diesem Beispiel ist die IP-Adresse des NTP-Servers 10.1.1.1.

      sensor(config-hos-ena)#ntp-server 10.1.1.1 key-id 12345

    3. Geben Sie den Schlüsselwert für den NTP-Server an.

      sensor(config-hos-ena)#ntp-keys key_ID md5-key key_value

      Der Schlüsselwert ist Text (numerisch oder numerisch). Dies ist der Schlüsselwert, den Sie bereits auf dem NTP-Server eingerichtet haben. Beispiel:

      sensor(config-hos-ena)#ntp-keys 12345 md5-key 123

      Dies ist die Vorgehensweise zum Konfigurieren von authentifiziertem NTP mithilfe von Cisco IPS Manager Express:

    1. Wählen Sie Configuration > Corp-IPS > Sensor Setup > Time aus. Klicken Sie dann auf das Optionsfeld neben Authenticated NTP (Authentifiziertes NTP), nachdem Sie die IP-Adresse des NTP-Servers wie im Screenshot gezeigt angegeben haben.

    2. Geben Sie den Schlüssel und die Schlüssel-ID an, die mit dem im NTP-Server angegebenen identisch sein muss.

      In diesem Beispiel lautet der Schlüssel 123 und die Schlüssel-ID 12345.

    3. Klicken Sie auf Übernehmen.

      IPS-ntp-config-02.gif

      Damit ist die authentifizierte NTP-Konfiguration abgeschlossen.

  5. Beenden Sie den NTP-Konfigurationsmodus.

    sensor(config-hos-ena)# exit

sensor(config-hos)# exit

Apply Changes:?[yes]

  6. Drücken Sie die Eingabetaste, um die Änderungen zu übernehmen, oder geben Sie no ein, um sie zu verwerfen.

    Damit ist die Konfigurationsaufgabe abgeschlossen.

Überprüfen

Dieser Abschnitt enthält Informationen zur Bestätigung, dass Ihre Konfiguration ordnungsgemäß funktioniert.

Überprüfen Sie die authentifizierten NTP-Einstellungen. Dadurch wird sichergestellt, dass die authentifizierte NTP-Konfiguration ordnungsgemäß durchgeführt wird.

sensor(config-hos-ena)#show settings

   enabled

   -----------------------------------------------

      ntp-keys (min: 1, max: 1, current: 1)

      -----------------------------------------------

         key-id: 12345

         -----------------------------------------------

            md5-key: 123

         -----------------------------------------------

      -----------------------------------------------

      ntp-servers (min: 1, max: 1, current: 1)

      -----------------------------------------------

         ip-address: 10.1.1.1

         key-id: 12345

      -----------------------------------------------

-----------------------------------------------

sensor(config-hos-ena)#

Um den Inhalt der Konfiguration im aktuellen Untermodus anzuzeigen, verwenden Sie den Befehl Anzeigeeinstellungen in jedem Dienstbefehlsmodus. Dadurch wird sichergestellt, dass die nicht authentifizierte NTP-Konfiguration ordnungsgemäß durchgeführt wird.

sensor(config-hos-ena)#show settings

   enabled-ntp-unauthenticated

   -----------------------------------------------

      ntp-server: 10.1.1.1

   -----------------------------------------------

sensor(config-hos-ena)#

Um die Systemuhr anzuzeigen, verwenden Sie den Befehl show clock im EXEC-Modus, wie gezeigt. In diesem Beispiel wird NTP konfiguriert und synchronisiert: 

sensor#show clock detail

11:45:02 CST Tues Jul 20 2011

Time source is NTP

sensor#

Fehlerbehebung

Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
22-Jul-2011
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.