NSX-T kann mithilfe unseres cloudbasierten Diensts automatisch Signaturen auf Ihre Hosts anwenden und Signaturen zur Erkennung von Eindringversuchen aktualisieren.

Die verteilte Firewall (DFW) muss aktiviert sein, damit IDS funktioniert. Wenn der Datenverkehr durch eine DFW-Regel blockiert wird, ist der Datenverkehr für IDS nicht sichtbar.

Die Erkennung von Eindringversuchen kann auf eigenständigen Hosts aktiviert werden, indem Sie die Leiste Aktiviert umschalten. Wenn VC-Cluster erkannt werden, kann IDS ebenfalls auf Clusterbasis aktiviert werden. Wählen Sie dazu den Cluster aus und klicken Sie auf Aktivieren.

Signaturen

Signaturen werden über Profile auf IDS Regeln angewendet. Ein einzelnes Profil wird auf den übereinstimmenden Datenverkehr angewendet. Standardmäßig führt NSX Manager einmal pro Tag eine Überprüfung auf neue Signaturen durch. Neue Signaturaktualisierungsversionen werden alle zwei Wochen (mit zusätzlichen nicht geplanten spontanen Updates) veröffentlicht. Wenn ein neues Update verfügbar ist, befindet sich auf der Seite ein Banner mit dem Link Jetzt Update durchführen.

Wenn Neue Versionen automatisch aktualisieren ausgewählt ist, werden die Signaturen automatisch auf Ihre Hosts angewendet, nachdem Sie aus der Cloud heruntergeladen wurden. Wenn die automatische Aktualisierung deaktiviert ist, werden die Signaturen bei der aufgelisteten Version angehalten. Klicken Sie auf Versionen anzeigen und ändern, um zusätzlich zur Standardeinstellung eine weitere Version hinzuzufügen. Momentan werden zwei Signaturen beibehalten. Bei jeder Änderung der Commit-Identifikationsnummer der Version wird eine neue Version heruntergeladen.

Wenn ein Proxyserver so konfiguriert ist, dass NSX Manager auf das Internet zugreift, klicken Sie auf Proxy-Einstellungen und schließen Sie die Konfiguration ab.

Offline-Herunterladen und -Hochladen von Signaturen

Die folgenden API-Anrufe sind bei Verwendung von VMware Cloud on AWS verfügbar.

Zum Herunterladen und Hochladen eines Signaturpakets, wenn NSX Manager keinen Internetzugriff hat:
  1. Diese API ist die erste, die vor dem Kommunikationsstart mit dem Cloud-Dienst aufgerufen wird. Der Client wird mithilfe des zugehörigen Lizenzschlüssels registriert und die zu verwendenden Anmeldedaten für den Client werden generiert. Die generierten Elemente „client_id“ und „client_secret“ werden als Anforderung für die Authentifizierungs-API verwendet. Wenn der Client zuvor registriert wurde, aber keinen Zugriff auf „client_id“ und „client_secret“ hat, muss der Client die Registrierung mithilfe derselben API wiederholen.
    POST https://api.nsx-sec-prod.com/1.0/auth/register 
       
    Text:
    {
    "license_keys":["054HK-D0356-480N1-02AAM-AN047"],
    "device_type":"NSX-Policy-Manager",
    "client_id": "client_username"
    }
    Antwort:
    {"client_id":"client_username", 
    "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
    }
  2. Dieser API-Aufruf authentifiziert den Client mithilfe von „client_id“ und „client_secret“ und generiert ein Autorisierungstoken, das in den Kopfzeilen von Anforderungen an IDS-Signatur-APIs verwendet werden soll. Das Token ist 60 Minuten lang gültig. Wenn das Token abgelaufen ist, muss sich der Client mithilfe von „client_id“ und „client_secret“ erneut authentifizieren.
    POST https://api.nsx-sec-prod.com/1.0/auth/authenticate
       
    Text:
    {"client_id":"client_username", 
    "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
    }
    Antwort:
    {
        "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg",
        "token_type": "bearer",
        "expires_in": 3600,
        "scope": "[distributed_threat_features]"
    }
  3. Die Antwort auf diesen Befehl enthält den Link für die ZIP-Datei. In NSX Cloud werden alle 24 Stunden die Signaturen aus dem Git-Hub-Repository heruntergeladen und in einer ZIP-Datei gespeichert. Kopieren Sie die URL der Signaturen und fügen Sie sie in Ihren Browser ein. Daraufhin wird die ZIP-Datei heruntergeladen.
    GET https://api.nsx-sec-prod.com/1.0/intrusion-services/signatures
       

    Auf der Registerkarte „Header“ erhält der Autorisierungsschlüssel den „access_token“-Wert aus der API-Antwort zum Authentifizieren.

    Authorization eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg
    Antwort:
    {
    "signatures_url": "https://ncs-idps-us-west-2-prod-signatures.s3.us-west-2.amazonaws.com/a07fe284ff70dc67194f2e7cf1a8178d69570528.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXdlc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfGlOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7KT46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZwYxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuSUHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzPMVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz-Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz-Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e"
    }
  4. Navigieren Sie zu Sicherheit > Verteilte IDS > Einstellungen. Klicken Sie in der rechten Ecke auf IDS-Signaturen hochladen. Navigieren Sie zu der gespeicherten ZIP-Signaturdatei und laden Sie die Datei hoch. Sie können auch die ZIP-Signaturdatei auch mithilfe des API-Aufrufs hochladen:
    POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures