NSX-T kann mithilfe unseres cloudbasierten Diensts automatisch Signaturen auf Ihre Hosts anwenden und Signaturen zur Erkennung von Eindringversuchen aktualisieren.

Die verteilte Firewall (DFW) muss aktiviert sein, damit IDS funktioniert. Wenn der Datenverkehr durch eine DFW-Regel blockiert wird, ist der Datenverkehr für IDS nicht sichtbar.

Die Erkennung von Eindringversuchen kann auf eigenständigen Hosts aktiviert werden, indem Sie die Leiste Aktiviert umschalten. Wenn VC-Cluster erkannt werden, kann IDS ebenfalls auf Clusterbasis aktiviert werden. Wählen Sie dazu den Cluster aus und klicken Sie auf Aktivieren.

Signaturen

Signaturen werden über Profile auf IDS-Regeln angewendet. Ein einziges Profil wird auf übereinstimmenden Datenverkehr angewendet. Standardmäßig führt NSX Manager einmal pro Tag eine Überprüfung auf neue Signaturen durch. Neue Signaturaktualisierungsversionen werden alle zwei Wochen (mit zusätzlichen nicht geplanten spontanen Updates) veröffentlicht. Wenn ein neues Update verfügbar ist, befindet sich auf der Seite ein Banner mit dem Link Jetzt Update durchführen.

Wenn Neue Versionen automatisch aktualisieren ausgewählt ist, werden die Signaturen automatisch auf Ihre Hosts angewendet, nachdem Sie aus der Cloud heruntergeladen wurden. Wenn die automatische Aktualisierung deaktiviert ist, werden die Signaturen bei der aufgelisteten Version angehalten. Klicken Sie auf Versionen anzeigen und ändern, um zusätzlich zur Standardeinstellung eine weitere Version hinzuzufügen. Momentan werden zwei Signaturen beibehalten. Bei jeder Änderung der Commit-Identifikationsnummer der Version wird eine neue Version heruntergeladen.

Wenn ein Proxyserver so konfiguriert ist, dass NSX Manager auf das Internet zugreift, klicken Sie auf Proxy-Einstellungen und schließen Sie die Konfiguration ab.

Offline-Herunterladen und -Hochladen von Signaturen

Zum Herunterladen und Hochladen eines Signaturpakets, wenn NSX Manager keinen Internetzugriff hat:
  1. Diese API ist die erste, die vor dem Kommunikationsstart mit dem Cloud-Dienst aufgerufen wird. Der Client wird mithilfe des zugehörigen Lizenzschlüssels registriert und die zu verwendenden Anmeldedaten für den Client werden generiert. Senden Sie alle Lizenzen, dann erhalten Sie die erforderliche Berechtigung. Die client_id ist der vom Benutzer angegebene Benutzername. Das client_secret wird generiert und als Anfrage für die Authentifizierungs-API verwendet. Wenn der Client zuvor registriert wurde, aber keinen Zugriff auf den client_id und client_secret hat, muss der Client die Registrierung mithilfe derselben API wiederholen. 
    POST https://api.nsx-sec-prod.com/1.0/auth/register
    Text: 
    {
"license_keys":["xxxxx-xxxxx-xxxxx-xxxxx-xxxxx"],
"device_type":"NSX-Idps-Offline-Download",
"client_id": "client_username"
}
    Antwort: 
    {"client_id":"client_username", 
"client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
}
  2. Dieser API-Aufruf authentifiziert den Client mithilfe von „client_id“ und „client_secret“ und generiert ein Autorisierungstoken, das in den Kopfzeilen von Anforderungen an IDS-Signatur-APIs verwendet werden soll. Das Token ist 60 Minuten lang gültig. Wenn das Token abgelaufen ist, muss sich der Client mithilfe von „client_id“ und „client_secret“ erneut authentifizieren.
    POST https://api.nsx-sec-prod.com/1.0/auth/authenticate
    Text: 
    {"client_id":"client_username", 
"client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
}
    Antwort: 
    {
    "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg",
    "token_type": "bearer",
    "expires_in": 3600,
    "scope": "[idps_scope]"
}
  3. Die Antwort auf diesen Befehl enthält den Link für die ZIP-Datei. In NSX Cloud werden alle 24 Stunden die Signaturen aus dem Git-Hub-Repository heruntergeladen und in einer ZIP-Datei gespeichert. Kopieren Sie die URL der Signaturen und fügen Sie sie in Ihren Browser ein. Daraufhin wird die ZIP-Datei heruntergeladen. 
    GET https://api.nsx-sec-prod.com/1.0/intrusion-services/signatures

    Auf der Registerkarte „Header“ erhält der Autorisierungsschlüssel den „access_token“-Wert aus der API-Antwort zum Authentifizieren.

    Authorization: eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg
    Antwort: 
    {
"signatures_url": "https://ncs-idps-us-west-2-prod-signatures.s3.us-west-2.amazonaws.com/a07fe284ff70dc67194f2e7cf1a8178d69570528.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXdlc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfGlOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7KT46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZwYxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuSUHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzPMVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz-Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz-Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e"
}
  4. Navigieren Sie zu Sicherheit > Verteilte IDS > Einstellungen. Klicken Sie in der rechten Ecke auf IDS-Signaturen hochladen. Navigieren Sie zu der gespeicherten ZIP-Signaturdatei und laden Sie die Datei hoch. Sie können auch die ZIP-Signaturdatei auch mithilfe des API-Aufrufs hochladen:
    POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures