Dieses Dokument enthält eine Beispielkonfiguration für die Synchronisierung der IPS-Uhr (Cisco Secure Intrusion Prevention System) mit einem Netzwerkzeitserver mithilfe von Network Time Protocol (NTP). Der Cisco Router ist als NTP-Server konfiguriert, und der IPS-Sensor wird so konfiguriert, dass er den NTP-Server (Cisco Router) als Zeitquelle verwendet.
Stellen Sie sicher, dass Sie diese Anforderungen erfüllen, bevor Sie versuchen, diese Konfiguration durchzuführen:
Der NTP-Server muss über den Cisco IPS-Sensor erreichbar sein, bevor Sie diese NTP-Konfiguration starten.
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
Cisco IPS-Gerät der Serie 4200 mit Softwareversion 7.0 und höher
Cisco IPS Manager Express (IME) Version 7.0.1 und höher
Hinweis: Obwohl IME zum Überwachen von Sensorgeräten verwendet werden kann, auf denen Cisco IPS 5.0 und höher ausgeführt wird, werden einige der neuen Funktionen und Funktionen von IME nur auf Sensoren unterstützt, auf denen Cisco IPS 6.1 oder höher ausgeführt wird.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Sie können dieses Dokument auch mit den folgenden Hardware- und Softwareversionen verwenden:
Cisco IPS-Gerät der Serie 4200 mit Softwareversionen 6.0 und früher
Cisco IPS Manager Express (IME) Version 6.1.1
Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).
Der Sensor benötigt eine authentifizierte Verbindung mit einem NTP-Server, wenn er den NTP-Server als Zeitquelle verwenden möchte. Der Sensor unterstützt nur den MD5-Hash-Algorithmus für die Schlüsselverschlüsselung. Verwenden Sie die folgende Prozedur, um einen Cisco Router zu aktivieren, der als NTP-Server fungiert und seine interne Uhr als Zeitquelle verwendet.
Gehen Sie wie folgt vor, um einen Cisco Router als NTP-Server einzurichten:
Melden Sie sich beim Router an.
Wechseln Sie in den Konfigurationsmodus.
router#configure terminal
Erstellen Sie die Schlüssel-ID und den Schlüsselwert.
router(config)#ntp authentication-key key_ID md5 key_value
Bei der Schlüssel-ID kann es sich um eine Zahl zwischen 1 und 65535 handeln. Der Schlüsselwert ist Text (numerisch oder numerisch). Sie wird später verschlüsselt. Beispiel:
router(config)#ntp authentication-key 12345 md5 123
Hinweis: Der Sensor unterstützt nur MD5-Schlüssel. Schlüssel sind möglicherweise bereits auf dem Router vorhanden. Mit dem Befehl show running configuration können Sie nach anderen Schlüsseln suchen. Sie können diese Werte für den vertrauenswürdigen Schlüssel in Schritt 4 verwenden.
Bestimmen Sie den in Schritt 3 erstellten Schlüssel als vertrauenswürdigen Schlüssel (oder verwenden Sie einen vorhandenen Schlüssel).
router(config)#ntp trusted-key key_ID
Die Schlüssel-ID ist die gleiche Nummer wie die Schlüssel-ID in Schritt 3. Beispiel:
router(config)#ntp trusted-key 12345
Geben Sie die Schnittstelle auf dem Router an, mit dem der Sensor kommunizieren soll.
router(config)#ntp source interface_name
Beispiel:
router(config)#ntp source FastEthernet 1/0
Geben Sie die dem Sensor zuzuweisende NTP-Master-Stratum-Nummer wie folgt an:
router(config)#ntp master stratum_number
Beispiel:
router(config)#ntp master 6
Hinweis: Die NTP-Master-Stratumnummer gibt die relative Position des Servers in der NTP-Hierarchie an. Sie können eine Zahl zwischen 1 und 15 wählen. Für den Sensor ist es nicht wichtig, welche Nummer Sie wählen.
Führen Sie die Schritte in diesem Abschnitt aus, um den Sensor für die Verwendung der NTP-Zeitquelle zu konfigurieren (in diesem Beispiel ist der Cisco Router die NTP-Zeitquelle).
Der Sensor benötigt eine konsistente Zeitquelle. Es wird empfohlen, einen NTP-Server zu verwenden. Verwenden Sie die folgende Prozedur, um den Sensor so zu konfigurieren, dass er den NTP-Server als Zeitquelle verwendet. Sie können authentifiziertes oder nicht authentifiziertes NTP verwenden.
Hinweis: Für authentifiziertes NTP müssen Sie die IP-Adresse des NTP-Servers, die Schlüssel-ID des NTP-Servers und den Schlüsselwert vom NTP-Server abrufen.
Gehen Sie wie folgt vor, um den Sensor so zu konfigurieren, dass er einen NTP-Server als Zeitquelle verwendet:
Melden Sie sich mit einem Konto mit Administratorrechten bei der CLI an.
Wechseln Sie in den Konfigurationsmodus, wie hier gezeigt:
sensor#configure terminal
Rufen Sie den Service-Host-Modus auf.
sensor(config)# service host
NTP kann als Authenticated und Unauthentication NTP konfiguriert werden.
Gehen Sie wie folgt vor, um nicht authentifiziertes NTP zu konfigurieren:
Wechseln Sie in den NTP-Konfigurationsmodus.
sensor(config-hos)#ntp-option enabled-ntp-unauthenticated
Geben Sie die IP-Adresse des NTP-Servers an.
sensor(config-hos-ena)#ntp-server ip_address
In diesem Beispiel ist die IP-Adresse des NTP-Servers 10.1.1.1.
sensor(config-hos-ena)#ntp-server 10.1.1.1
So konfigurieren Sie nicht authentifiziertes NTP mit Cisco IPS Manager Express:
Wählen Sie Configuration > Corp-IPS > Sensor Setup > Time aus. Klicken Sie dann auf das Optionsfeld neben Nicht authentifiziertes NTP, nachdem Sie die IP-Adresse des NTP-Servers wie im Screenshot gezeigt angegeben haben.
Klicken Sie auf Übernehmen.
Damit ist die nicht authentifizierte NTP-Konfiguration abgeschlossen.
Gehen Sie wie folgt vor, um authentifiziertes NTP zu konfigurieren:
Wechseln Sie in den NTP-Konfigurationsmodus.
sensor(config-hos)#ntp-option enable
Geben Sie die IP-Adresse und Schlüssel-ID des NTP-Servers an. Die Schlüssel-ID ist eine Zahl zwischen 1 und 65535. Dies ist die Schlüssel-ID, die Sie bereits auf dem NTP-Server eingerichtet haben.
sensor(config-hos-ena)#ntp-servers ip_address key-id key_ID
In diesem Beispiel ist die IP-Adresse des NTP-Servers 10.1.1.1.
sensor(config-hos-ena)#ntp-server 10.1.1.1 key-id 12345
Geben Sie den Schlüsselwert für den NTP-Server an.
sensor(config-hos-ena)#ntp-keys key_ID md5-key key_value
Der Schlüsselwert ist Text (numerisch oder numerisch). Dies ist der Schlüsselwert, den Sie bereits auf dem NTP-Server eingerichtet haben. Beispiel:
sensor(config-hos-ena)#ntp-keys 12345 md5-key 123
Dies ist die Vorgehensweise zum Konfigurieren von authentifiziertem NTP mithilfe von Cisco IPS Manager Express:
Wählen Sie Configuration > Corp-IPS > Sensor Setup > Time aus. Klicken Sie dann auf das Optionsfeld neben Authenticated NTP (Authentifiziertes NTP), nachdem Sie die IP-Adresse des NTP-Servers wie im Screenshot gezeigt angegeben haben.
Geben Sie den Schlüssel und die Schlüssel-ID an, die mit dem im NTP-Server angegebenen identisch sein muss.
In diesem Beispiel lautet der Schlüssel 123 und die Schlüssel-ID 12345.
Klicken Sie auf Übernehmen.
Damit ist die authentifizierte NTP-Konfiguration abgeschlossen.
Beenden Sie den NTP-Konfigurationsmodus.
sensor(config-hos-ena)# exit sensor(config-hos)# exit Apply Changes:?[yes]
Drücken Sie die Eingabetaste, um die Änderungen zu übernehmen, oder geben Sie no ein, um sie zu verwerfen.
Damit ist die Konfigurationsaufgabe abgeschlossen.
Dieser Abschnitt enthält Informationen zur Bestätigung, dass Ihre Konfiguration ordnungsgemäß funktioniert.
Überprüfen Sie die authentifizierten NTP-Einstellungen. Dadurch wird sichergestellt, dass die authentifizierte NTP-Konfiguration ordnungsgemäß durchgeführt wird.
sensor(config-hos-ena)#show settings enabled ----------------------------------------------- ntp-keys (min: 1, max: 1, current: 1) ----------------------------------------------- key-id: 12345 ----------------------------------------------- md5-key: 123 ----------------------------------------------- ----------------------------------------------- ntp-servers (min: 1, max: 1, current: 1) ----------------------------------------------- ip-address: 10.1.1.1 key-id: 12345 ----------------------------------------------- ----------------------------------------------- sensor(config-hos-ena)#
Um den Inhalt der Konfiguration im aktuellen Untermodus anzuzeigen, verwenden Sie den Befehl Anzeigeeinstellungen in jedem Dienstbefehlsmodus. Dadurch wird sichergestellt, dass die nicht authentifizierte NTP-Konfiguration ordnungsgemäß durchgeführt wird.
sensor(config-hos-ena)#show settings enabled-ntp-unauthenticated ----------------------------------------------- ntp-server: 10.1.1.1 ----------------------------------------------- sensor(config-hos-ena)#
Um die Systemuhr anzuzeigen, verwenden Sie den Befehl show clock im EXEC-Modus, wie gezeigt. In diesem Beispiel wird NTP konfiguriert und synchronisiert:
sensor#show clock detail 11:45:02 CST Tues Jul 20 2011 Time source is NTP sensor#
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
22-Jul-2011 |
Erstveröffentlichung |