Résolution des problèmes liés au protocole NTP (Network Time Protocol) sur les systèmes Firepower
Contenu
Introduction
Ce document décrit les problèmes courants liés à la synchronisation de l'heure sur FireSIGHT Systems et à la façon de les résoudre. Vous pouvez choisir de synchroniser le temps entre vos systèmes FireSIGHT de trois manières différentes, par exemple manuellement avec des serveurs NTP (Network Time Protocol) externes ou avec FireSIGHT Management Center qui sert de serveur NTP. Vous pouvez configurer FireSIGHT Management Center en tant que serveur temporel avec NTP, puis l'utiliser pour synchroniser le temps entre FireSIGHT Management Center et les périphériques gérés.
Conditions préalables
Conditions requises
Pour configurer le paramètre de synchronisation de l'heure, vous avez besoin du niveau d'administration de votre FireSIGHT Management Center.
Components Used
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Symptômes
- FireSIGHT Management Center affiche des alertes d'intégrité sur l'interface Web.
- La page Health Monitor affiche un appareil comme critique, car l'état du module de synchronisation temporelle est désynchronisé.
- Des alertes d'intégrité intermittentes peuvent s'afficher si les appliances ne restent pas synchronisées.
- Après l'application d'une stratégie système, des alertes d'intégrité peuvent s'afficher, car la synchronisation d'un FireSIGHT Management Center et de ses périphériques gérés peut prendre jusqu'à 20 minutes. En effet, FireSIGHT Management Center doit d'abord se synchroniser avec son serveur NTP configuré avant de pouvoir fournir du temps à un périphérique géré.
- Le temps entre un FireSIGHT Management Center et un périphérique géré ne correspond pas.
- Les événements générés au niveau du capteur peuvent prendre des minutes ou des heures pour être visibles sur FireSIGHT Management Center.
- Si vous exécutez des appliances virtuelles et que la page Health Monitor indique que la configuration de l'horloge de votre appliance virtuelle n'est pas synchronisée, vérifiez les paramètres de synchronisation de l'heure de la stratégie système. Cisco vous recommande de synchroniser vos appliances virtuelles avec un serveur NTP physique. Ne synchronisez pas vos périphériques gérés (virtuels ou physiques) vers un centre de défense virtuel.
Dépannage
Étape 1 : Vérification de la configuration NTP
Comment vérifier dans les versions 5.4 et antérieures
Vérifiez que NTP est activé sur la stratégie système appliquée sur les systèmes FireSIGHT. Pour vérifier cela, procédez comme suit :
- Choisissez System > Local > System Policy.
- Modifiez la stratégie système appliquée à vos systèmes FireSIGHT.
- Choisissez Synchronisation de l'heure.
Vérifiez si l'horloge du FireSIGHT Management Center (également appelé Centre de défense ou DC) est réglée sur Via NTP à partir de et si une adresse de serveur NTP est fournie. Confirmez également que le périphérique géré est défini sur via NTP depuis Defense Center.
Si vous spécifiez un serveur NTP externe distant, votre appliance doit y avoir accès au réseau. Ne spécifiez pas de serveur NTP non approuvé. Ne synchronisez pas vos périphériques gérés (virtuels ou physiques) sur un Virtual FireSIGHT Management Center. Cisco vous recommande de synchroniser vos appliances virtuelles avec un serveur NTP physique.
Comment vérifier dans les versions 6.0 et ultérieures
Dans les versions 6.0.0 et ultérieures, les paramètres de synchronisation de l'heure sont configurés à des endroits distincts sur Firepower Management Center, bien qu'ils suivent la même logique que les étapes de la version 5.4.
Les paramètres de synchronisation de l'heure pour Firepower Management Center lui-même se trouvent sous System > Configuration > Time Synchronization.
Les paramètres de synchronisation de l'heure pour les périphériques gérés se trouvent sous Périphériques > Paramètres de la plate-forme. Cliquez sur modifier en regard de la stratégie Paramètres de la plate-forme appliquée au périphérique, puis sélectionnez Synchronisation de l'heure.
Après avoir appliqué la configuration pour la synchronisation temporelle (quelle que soit la version), assurez-vous que l'heure de votre Management Center et de vos périphériques gérés correspond. Sinon, des conséquences imprévues peuvent se produire lorsque les périphériques gérés communiquent avec Management Center.
Étape 2 : Identifier un serveur de temps et son état
- Afin de collecter des informations sur la connexion à un serveur de temps, entrez cette commande sur votre FireSIGHT Management Center :
admin@FireSIGHT:~$ ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
*198.51.100.2 203.0.113.3 2 u 417 1024 377 76.814 3.458 1.992Un astérisque '*' sous la télécommande indique le serveur auquel vous êtes actuellement synchronisé. Si une entrée avec un astérisque n'est pas disponible, l'horloge n'est actuellement pas synchronisée avec sa source temporelle.
Sur un périphérique géré, vous pouvez entrer cette commande sur shell afin de déterminer l'adresse de votre serveur NTP :
> show ntp
NTP Server : 127.0.0.2 (Cannot Resolve)
Status : Being Used
Offset : -8.344 (milliseconds)
Last Update : 188 (seconds) - Si une appliance affiche qu'elle se synchronise avec 127.127.1.1, elle indique que l'appliance se synchronise avec sa propre horloge. Cela se produit lorsqu'un serveur de temps configuré sur une stratégie système n'est pas synchronisable. Exemple :
admin@FirePOWER:~$ ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
192.0.2.200 .INIT. 16 u - 1024 0 0.000 0.000 0.000
*127.127.1.1 .SFCL. 14 l 3 64 377 0.000 0.000 0.001 - Dans la sortie de commande ntpq, si vous remarquez que la valeur de st (strate) est 16, cela indique que le serveur de temps est inaccessible et que l'appliance ne peut pas se synchroniser avec ce serveur de temps.
- Dans la sortie de commande ntpq, reach affiche un numéro octal qui indique la réussite ou l'échec d'accès à la source pour les huit dernières tentatives d'interrogation. Si vous voyez que la valeur est 377, cela signifie que les 8 dernières tentatives ont réussi. Toute autre valeur peut indiquer qu'une ou plusieurs des huit dernières tentatives ont échoué.
Étape 3 : Vérification de la connectivité
- Vérifiez la connectivité de base au serveur de temps.
admin@FireSIGHT:~$ ping - Assurez-vous que le port 123 est ouvert sur votre système FireSIGHT.
admin@FireSIGHT:~$ netstat -an | grep 123
- Vérifiez que le port 123 est ouvert sur le pare-feu.
- Vérifiez l'horloge matérielle :
admin@FireSIGHT:~$ sudo hwclock
Si l'horloge matérielle est trop obsolète, la synchronisation risque de ne jamais aboutir. Afin de forcer manuellement l'horloge à être définie avec un serveur d'heure, entrez cette commande :
admin@FireSIGHT:~$ sudo ntpdate -uRedémarrez ensuite ntpd :
admin@FireSIGHT:~$ sudo pmtool restartbyid ntpd
Étape 4 : Vérifier les fichiers de configuration
- Vérifiez si le fichier sfipproxy.conf est renseigné correctement. Ce fichier envoie le trafic NTP par le biais du tunnel SFtunnel.
Un exemple du fichier /etc/sf/sfipproxy.conf sur un périphérique géré est présenté ici :admin@FirePOWER:~$ sudo cat /etc/sf/sfipproxy.conf
config
{
nodaemon 1;
}
peers
{
dbef067c-4d5b-11e4-a08b-b3f170684648
{
services
{
ntp
{
listen_ip 127.0.0.2;
listen_port 123;
protocol udp;
timeout 20;
}
}
}
}Un exemple du fichier /etc/sf/sfipproxy.conf sur FireSIGHT Management Center est présenté ici :
admin@FireSIGHT:~$ sudo cat /etc/sf/sfipproxy.conf
config
{
nodaemon 1;
}
peers
{
854178f4-4eec-11e4-99ed-8b16d263763e
{
services
{
ntp
{
protocol udp;
server_ip 127.0.0.1;
server_port 123;
timeout 10;
}
}
}
} - Assurez-vous que l'UUID (Universally Unique Identifier) de la section homologues correspond au fichier ims.conf de l'homologue. Par exemple, l'UUID trouvé dans la section homologues du fichier /etc/sf/sfipproxy.conf sur un FireSIGHT Management Center doit correspondre à l'UUID trouvé dans le fichier /etc/ims.conf de son périphérique géré. De même, l'UUID trouvé dans la section homologues du fichier /etc/sf/sfipproxy.conf sur un périphérique géré doit correspondre à l'UUID trouvé dans le fichier /etc/ims.conf de son appareil de gestion.
Vous pouvez récupérer l'UUID des périphériques à l'aide de la commande suivante :
admin@FireSIGHT:~$ sudo grep UUID /etc/sf/ims.conf
APPLIANCE_UUID=dbef067c-4d5b-11e4-a08b-b3f170684648Celles-ci doivent normalement être automatiquement remplies par la stratégie système, mais il y a eu des cas où ces stanzas étaient manquants. S'ils doivent être modifiés ou modifiés, vous devez redémarrer sfipproxy et sftunnel comme suit :
admin@FireSIGHT:~$ sudo pmtool restartbyid sfipproxy admin@FireSIGHT:~$ sudo pmtool restartbyid sftunnel
- Vérifiez si un fichier ntp.conf est disponible dans le répertoire /etc.
admin@FireSIGHT:~$ ls /etc/ntp.conf*
Si un fichier de configuration NTP n'est pas disponible, vous pouvez en faire une copie à partir du fichier de configuration de sauvegarde. Exemple :
admin@FireSIGHT:~$ sudo cp /etc/ntp.conf.bak /etc/ntp.conf
- Vérifiez si le fichier /etc/ntp.conf est renseigné correctement. Lorsque vous appliquez une stratégie système, le fichier ntp.conf est réécrit.
admin@FireSIGHT:~$ sudo cat /etc/ntp.conf
# automatically generated by /etc/sysconfig/configure-network ; do not edit
# Tue Oct 21 17:44:03 UTC 2014
restrict default noquery nomodify notrap nopeer
restrict 127.0.0.1
server 198.51.100.2
logfile /var/log/ntp.log
driftfile /etc/ntp.drift
Commentaires