このドキュメントでは、ネットワーク タイム プロトコル(NTP)を使用して、Cisco Secure Intrusion Prevention System(IPS)のクロックをネットワーク タイム サーバと同期させるための設定例を示します。CiscoルータはNTPサーバとして設定され、IPSセンサーはNTPサーバ(Ciscoルータ)を時刻源として使用するように設定されます。
この設定を行う前に、次の要件が満たされていることを確認します。
このNTP設定を開始する前に、Cisco IPSセンサーからNTPサーバに到達できる必要があります。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
ソフトウェアバージョン7.0以降が稼働するCisco 4200シリーズIPSデバイス
Cisco IPS Manager Express(IME)バージョン 7.0.1 およびそれ以降
注:IMEはCisco IPS 5.0以降を実行するセンサーデバイスの監視に使用できますが、IMEで提供される新機能の一部は、Cisco IPS 6.1以降を実行するセンサーでのみサポートされます。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
このドキュメントは、次のバージョンのハードウェアとソフトウェアにも適用できます。
ソフトウェアバージョン6.0以前を実行するCisco 4200シリーズIPSデバイス
Cisco IPS Manager Express(IME)バージョン6.1.1
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
時刻源としてNTPサーバを使用する場合、センサーにはNTPサーバとの認証済み接続が必要です。センサーは、キー暗号化のMD5ハッシュアルゴリズムのみをサポートします。CiscoルータをNTPサーバとして動作するようにアクティブにし、その内部クロックを時刻源として使用する手順は、次のとおりです。
CiscoルータをNTPサーバとして動作するように設定するには、次の手順を実行します。
ルータにログインします。
設定モードに入ります。
router#configure terminal
キーIDとキー値を作成します。
router(config)#ntp authentication-key key_ID md5 key_value
キーIDには、1 ~ 65535の数値を指定できます。キー値はテキスト(数値または文字)です。後で暗号化されます。例:
router(config)#ntp authentication-key 12345 md5 123
注:センサーはMD5キーのみをサポートしています。キーがルータにすでに存在している可能性があります。show runningコンフィギュレーションコマンドを使用して、他のキーを確認します。これらの値は、手順4で信頼できるキーに使用できます。
ステップ3で作成したキーを信頼できるキーとして指定します(または既存のキーを使用します)。
router(config)#ntp trusted-key key_ID
信頼できるキーIDは、手順3のキーIDと同じ番号です。例:
router(config)#ntp trusted-key 12345
センサーが通信するルータのインターフェイスを指定します。
router(config)#ntp source interface_name
例:
router(config)#ntp source FastEthernet 1/0
次に示すように、センサーに割り当てるNTPマスターストラタム番号を指定します。
router(config)#ntp master stratum_number
例:
router(config)#ntp master 6
注:NTPマスタストラタム番号は、NTP階層内でのサーバの相対的な位置を示します。1 ~ 15の数値を選択できます。センサーにとってどの番号を選択するかは重要ではありません。
NTP時刻源を使用するようにセンサーを設定するには、このセクションの手順を実行します(この例では、CiscoルータがNTP時刻源です)。
センサーには、一貫した時刻源が必要です。NTPサーバを使用することを推奨します。時刻源としてNTPサーバを使用するようにセンサーを設定するには、次の手順を実行します。認証NTPまたは非認証NTPを使用できます。
注:認証済みNTPでは、NTPサーバのIPアドレス、NTPサーバキーID、およびキー値をNTPサーバから取得する必要があります。
時刻源としてNTPサーバを使用するようにセンサーを設定するには、次の手順を実行します。
管理者権限を持つアカウントを使用してCLIにログインします。
次に示すように、設定モードに入ります。
sensor#configure terminal
サービスホストモードに入ります。
sensor(config)# service host
NTPは、認証NTPおよび非認証NTPとして設定できます。
非認証NTPを設定するには、次の手順を実行します。
NTPコンフィギュレーションモードに入ります。
sensor(config-hos)#ntp-option enabled-ntp-unauthenticated
NTPサーバのIPアドレスを指定します。
sensor(config-hos-ena)#ntp-server ip_address
この例では、NTPサーバのIPアドレスは10.1.1.1です。
sensor(config-hos-ena)#ntp-server 10.1.1.1
次に、Cisco IPS Manager Expressを使用して非認証NTPを設定する手順を示します。
Configuration > Corp-IPS > Sensor Setup > Timeの順に選択します。次に、スクリーンショットに示すように、NTPサーバのIPアドレスを入力した後、Unauthenticated NTPの横にあるオプションボタンをクリックします。
[APPLY] をクリックします。
これで、認証されていないNTPの設定は完了です。
認証済みNTPを設定するには、次の手順を実行します。
NTPコンフィギュレーションモードに入ります。
sensor(config-hos)#ntp-option enable
NTPサーバのIPアドレスとキーIDを指定します。キーIDは1 ~ 65535の数値です。これは、NTPサーバですでに設定されているキーIDです。
sensor(config-hos-ena)#ntp-servers ip_address key-id key_ID
この例では、NTPサーバのIPアドレスは10.1.1.1です。
sensor(config-hos-ena)#ntp-server 10.1.1.1 key-id 12345
キー値としてNTPサーバを指定します。
sensor(config-hos-ena)#ntp-keys key_ID md5-key key_value
キー値はテキスト(数値または文字)です。これは、NTPサーバですでに設定されているキー値です。例:
sensor(config-hos-ena)#ntp-keys 12345 md5-key 123
次に、Cisco IPS Manager Expressを使用して認証済みNTPを設定する手順を示します。
Configuration > Corp-IPS > Sensor Setup > Timeの順に選択します。次に、スクリーンショットに示すように、NTPサーバのIPアドレスを指定してから、Authenticated NTPの横にあるオプションボタンをクリックします。
キーとキーIDを指定します。これらのキーは、NTPサーバで指定したものと同じである必要があります。
この例では、キーは123で、キーIDは12345です。
[APPLY] をクリックします。
これで、認証済みNTPの設定は完了です。
NTPコンフィギュレーションモードを終了します。
sensor(config-hos-ena)# exit sensor(config-hos)# exit Apply Changes:?[yes]
Enterキーを押して変更を適用するか、noキーを押して変更を破棄します。
これで設定タスクが完了しました。
このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示しています。
認証済みNTPの設定を確認します。これにより、認証済みNTPの設定が正しく行われていることが確認されます。
sensor(config-hos-ena)#show settings enabled ----------------------------------------------- ntp-keys (min: 1, max: 1, current: 1) ----------------------------------------------- key-id: 12345 ----------------------------------------------- md5-key: 123 ----------------------------------------------- ----------------------------------------------- ntp-servers (min: 1, max: 1, current: 1) ----------------------------------------------- ip-address: 10.1.1.1 key-id: 12345 ----------------------------------------------- ----------------------------------------------- sensor(config-hos-ena)#
現在のサブモードに含まれている設定の内容を表示するには、任意のサービスコマンドモードでshow settingsコマンドを使用します。これにより、非認証NTP設定が正しく行われていることが確認されます。
sensor(config-hos-ena)#show settings enabled-ntp-unauthenticated ----------------------------------------------- ntp-server: 10.1.1.1 ----------------------------------------------- sensor(config-hos-ena)#
システムクロックを表示するには、次に示すようにEXECモードでshow clockコマンドを使用します。次の例は、NTPが設定され、同期されていることを示しています。
sensor#show clock detail 11:45:02 CST Tues Jul 20 2011 Time source is NTP sensor#
現在、この設定に関する特定のトラブルシューティング情報はありません。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
11-Nov-2009 |
初版 |