Dit document biedt een voorbeeldconfiguratie voor het synchroniseren van de Cisco Secure Inbraakpreventiesysteem (IPS) met een netwerktijdserver met Network Time Protocol (NTP). De Cisco-router is geconfigureerd als een NTP-server en de IPS-sensor is geconfigureerd om de NTP-server (Cisco-router) als tijdbron te gebruiken.
Voordat u deze configuratie uitvoert, moet aan de volgende vereisten worden voldaan:
De NTP-server moet bereikbaar zijn via de Cisco IPS-sensor voordat u deze NTP-configuratie start.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco 4200 Series IPS-apparaat waarin softwareversie 7.0 en hoger wordt uitgevoerd
Cisco IPS Manager Express (IME) versie 7.0.1 en hoger
Opmerking: Hoewel IME kan worden gebruikt om sensorapparaten te monitoren waarop Cisco IPS 5.0 en hoger wordt uitgevoerd, worden sommige van de nieuwe functies en functies die in IME worden geleverd, alleen ondersteund op sensoren waarop Cisco IPS 6.1 of hoger wordt uitgevoerd.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
U kunt dit document ook gebruiken met de volgende hardware- en softwareversies:
Cisco 4200 Series IPS-apparaat waarin softwareversies 6.0 en hoger worden uitgevoerd
Cisco IPS Manager Express (IME) versie 6.1.1
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
De sensor vereist een geverifieerde verbinding met een NTP server als het de NTP server als tijdbron gaat gebruiken. De sensor ondersteunt alleen het MD5 hash algoritme voor sleutel encryptie. Gebruik de volgende procedure om een Cisco-router te activeren die als een NTP-server fungeert en gebruik de interne klok ervan als tijdbron.
Voltooi deze stappen om een Cisco-router op te zetten die als een NTP-server fungeert:
Meld u aan bij de router.
Voer de configuratiemodus in.
router#configure terminal
Maak de sleutel-ID en sleutelwaarde.
router(config)#ntp authentication-key key_ID md5 key_value
De sleutel-ID kan een getal tussen 1 en 65535 zijn. De belangrijkste waarde is tekst (numeriek of teken). Het wordt later versleuteld. Voorbeeld:
router(config)#ntp authentication-key 12345 md5 123
Opmerking: De sensor ondersteunt alleen MD5 toetsen. Sleutels zouden reeds op de router kunnen bestaan. Gebruik het show lopende configuratiebevel om andere sleutels te controleren. U kunt deze waarden gebruiken voor de vertrouwde sleutel in stap 4.
Wijs de sleutel die u zojuist in stap 3 hebt gemaakt aan als de vertrouwde sleutel (of gebruik een bestaande sleutel).
router(config)#ntp trusted-key key_ID
De vertrouwde key ID is hetzelfde nummer als de key ID in stap 3. Voorbeeld:
router(config)#ntp trusted-key 12345
Specificeer de interface op de router waarmee de sensor zal communiceren.
router(config)#ntp source interface_name
Voorbeeld:
router(config)#ntp source FastEthernet 1/0
Specificeer het stratumnummer van het NTP-stratum dat aan de sensor moet worden toegewezen, zoals hieronder wordt getoond:
router(config)#ntp master stratum_number
Voorbeeld:
router(config)#ntp master 6
Opmerking: Het NTP-stratumnummer identificeert de relatieve positie van de server in de NTP-hiërarchie. U kunt een getal tussen 1 en 15 kiezen. Het is niet belangrijk voor de sensor welk nummer je kiest.
Voltooi de stappen in deze sectie om de sensor te vormen om de NTP tijdbron te gebruiken (de router van Cisco is de NTP tijdbron in dit voorbeeld).
De sensor vereist een consistente tijdbron. Aanbevolen wordt om een NTP-server te gebruiken. Gebruik de volgende procedure om de sensor te configureren om de NTP server als tijdbron te gebruiken. U kunt Verified of Unauthenticated NTP gebruiken.
Opmerking: voor geverifieerde NTP moet u het IP-adres van de NTP-server, de NTP-serversleutel-ID en de sleutelwaarde van de NTP-server verkrijgen.
Voltooi deze stappen om de sensor te configureren om een NTP-server als tijdbron te gebruiken:
Log in op de CLI met een account met beheerdersrechten.
Voer de configuratiemodus in zoals hier wordt getoond:
sensor#configure terminal
Voer de modus voor de servicehost in.
sensor(config)# service host
NTP kan worden geconfigureerd als geverifieerde en niet-geverifieerde NTP.
Voltooi deze stappen om Niet-geverifieerde NTP te configureren:
Voer de NTP-configuratiemodus in.
sensor(config-hos)#ntp-option enabled-ntp-unauthenticated
Specificeer het IP-adres van de NTP-server.
sensor(config-hos-ena)#ntp-server ip_address
In dit voorbeeld is het IP-adres van de NTP-server 10.1.1.1.
sensor(config-hos-ena)#ntp-server 10.1.1.1
Dit is de procedure om niet-geverifieerde NTP te configureren met Cisco IPS Manager Express:
Kies Configuratie > Corp-IPS > Sensor Setup > Tijd. Klik vervolgens op het keuzerondje naast Niet-geverifieerde NTP, nadat u het IP-adres van de NTP-server hebt opgegeven zoals in de screenshot.
Klik op Apply (Toepassen).
Dit voltooit de niet-geverifieerde NTP-configuratie.
Voltooi deze stappen om Voor authentiek verklaarde NTP te vormen:
Voer de NTP-configuratiemodus in.
sensor(config-hos)#ntp-option enable
Specificeer het IP-adres en de sleutel-ID van de NTP-server. De sleutel-ID is een getal tussen 1 en 65535. Dit is de sleutel-ID die u al hebt ingesteld op de NTP-server.
sensor(config-hos-ena)#ntp-servers ip_address key-id key_ID
In dit voorbeeld is het IP-adres van de NTP-server 10.1.1.1.
sensor(config-hos-ena)#ntp-server 10.1.1.1 key-id 12345
Specificeer de belangrijkste waarde NTP server.
sensor(config-hos-ena)#ntp-keys key_ID md5-key key_value
De belangrijkste waarde is tekst (numeriek of teken). Dit is de belangrijkste waarde die u reeds hebt ingesteld op de NTP-server. Voorbeeld:
sensor(config-hos-ena)#ntp-keys 12345 md5-key 123
Dit is de procedure om geverifieerde NTP te configureren met Cisco IPS Manager Express:
Kies Configuratie > Corp-IPS > Sensor Setup > Tijd. Klik vervolgens op het keuzerondje naast Authenticated NTP, nadat u het IP-adres van de NTP-server hebt opgegeven zoals in de screenshot.
Geef de sleutel en de sleutel-ID die hetzelfde moet zijn als vermeld in de NTP-server.
In dit voorbeeld is de Sleutel 123 en de Sleutel-ID is 12345.
Klik op Apply (Toepassen).
Hiermee is de configuratie van de geverifieerde NTP voltooid.
Sluit NTP-configuratiemodus.
sensor(config-hos-ena)# exit sensor(config-hos)# exit Apply Changes:?[yes]
Druk op ENTER om de wijzigingen toe te passen of op no om ze te verwijderen.
Hiermee is de configuratietaak voltooid.
Deze sectie bevat informatie over de manier waarop u kunt controleren of de configuratie goed werkt.
Controleer de geverifieerde NTP-instellingen. Dit zorgt ervoor dat de geverifieerde NTP-configuratie correct wordt uitgevoerd.
sensor(config-hos-ena)#show settings enabled ----------------------------------------------- ntp-keys (min: 1, max: 1, current: 1) ----------------------------------------------- key-id: 12345 ----------------------------------------------- md5-key: 123 ----------------------------------------------- ----------------------------------------------- ntp-servers (min: 1, max: 1, current: 1) ----------------------------------------------- ip-address: 10.1.1.1 key-id: 12345 ----------------------------------------------- ----------------------------------------------- sensor(config-hos-ena)#
Om de inhoud van de configuratie in de huidige submode weer te geven, gebruikt u de opdracht show settings in elke service commando-modus. Dit verifieert dat de niet-geverifieerde NTP-configuratie correct wordt uitgevoerd.
sensor(config-hos-ena)#show settings enabled-ntp-unauthenticated ----------------------------------------------- ntp-server: 10.1.1.1 ----------------------------------------------- sensor(config-hos-ena)#
Om de systeemklok te tonen, gebruik het bevel van de showklok op wijze EXEC zoals getoond. Dit voorbeeld toont NTP geconfigureerd en gesynchroniseerd:
sensor#show clock detail 11:45:02 CST Tues Jul 20 2011 Time source is NTP sensor#
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
11-Nov-2009 |
Eerste vrijgave |