NSX-T IDS/IPS kann mithilfe unseres cloudbasierten Diensts automatisch Signaturen auf Ihre Hosts anwenden und Signaturen zur Erkennung von Eindringversuchen aktualisieren.

Damit IDS/IPS funktionieren, muss die verteilte Firewall (DFW) aktiviert sein. Wenn der Datenverkehr durch eine DFW-Regel blockiert ist, kann IDS/IPS den Datenverkehr nicht sehen.

Die Erkennung und Verhinderung von Eindringversuchen wird auf eigenständigen Hosts aktiviert, indem Sie die Leiste Aktiviert umschalten. Wenn VC-Cluster erkannt werden, kann IDS/IPS ebenfalls auf Clusterbasis aktiviert werden. Wählen Sie dazu den Cluster aus und klicken Sie auf Aktivieren.

Signaturen

Signaturen werden über Profile auf IDS Regeln angewendet. Ein einzelnes Profil wird auf den übereinstimmenden Datenverkehr angewendet. Standardmäßig führt NSX Manager einmal pro Tag eine Überprüfung auf neue Signaturen durch. Neue Signaturaktualisierungsversionen werden alle zwei Wochen (mit zusätzlichen nicht geplanten spontanen Updates) veröffentlicht. Wenn ein neues Update verfügbar ist, befindet sich auf der Seite ein Banner mit dem Link Jetzt Update durchführen.

Wenn Neue Versionen automatisch aktualisieren ausgewählt ist, werden die Signaturen automatisch auf Ihre Hosts angewendet, nachdem Sie aus der Cloud heruntergeladen wurden. Wenn die automatische Aktualisierung deaktiviert ist, werden die Signaturen bei der aufgelisteten Version angehalten. Klicken Sie auf Versionen anzeigen und ändern, um zusätzlich zur Standardeinstellung eine weitere Version hinzuzufügen. Momentan werden zwei Signaturen beibehalten. Bei jeder Änderung der Commit-Identifikationsnummer der Version wird eine neue Version heruntergeladen.

Wenn ein Proxyserver so konfiguriert ist, dass NSX Manager auf das Internet zugreift, klicken Sie auf Proxy-Einstellungen und schließen Sie die Konfiguration ab.

Globale Signaturverwaltung

Signaturen können nach Profil und global geändert werden. In Profilen vorgenommene Signaturänderungen überschreiben globale Änderungen. Um eine spezifische Signaturaktion zum Warnen/Ablegen/Ablehnen zu ändern, klicken Sie auf Globalen Signatursatz anzeigen und verwalten Wählen Sie eine Aktion für die Signatur aus und klicken Sie auf Speichern.
Aktion Beschreibung
Warnung Eine Warnung wird generiert und keine automatische vorbeugende Aktion wird durchgeführt.
Verwerfen Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen.
Ablehnen Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen. Für TCP-Flows wird ein TCP-Zurücksetzungspaket von IDS generiert und sowohl an die Quelle als auch an das Ziel der Verbindung gesendet. Bei anderen Protokollen wird ein ICMP-Fehlerpaket an Quelle und Ziel der Verbindung gesendet.

Offline-Herunterladen und -Hochladen von Signaturen

NSX-T IDS/IPS kann mithilfe unseres cloudbasierten Diensts automatisch Signaturen auf Ihre Hosts anwenden und Signaturen zur Erkennung von Eindringversuchen aktualisieren. Ab NSX-T Data Center 3.1.2 können Sie die IDS/IPS-Signatur unter https://api.prod.nsxti.vmware.com/ herunterladen. Stellen Sie für neue Signaturaktualisierungen sicher, dass die NSX-Bereitstellung nach dem Upgrade Zugriff auf https://api.prod.nsxti.vmware.com/ hat.

Hinweis: Pakete, bei denen die Dateien classification.config und changelog.jsn nicht in der Datei „tar.gz“ enthalten sind, werden nicht unterstützt.
Zum Herunterladen und Hochladen eines Signaturpakets, wenn NSX Manager keinen Internetzugriff hat:
  1. Diese API ist die erste, die vor dem Kommunikationsstart mit dem Cloud-Dienst aufgerufen wird. Die Lizenzschlüssel stammen aus der NSX Distributed Threat-Lizenz. Der client_id ist der vom Benutzer angegebene Benutzername. „client_secret“ wird generiert und als Anfrage für die Authentifizierungs-API verwendet. Wenn der Client zuvor registriert wurde, aber keinen Zugriff auf „client_id“ und „client_secret“ hat, muss der Client die Registrierung mithilfe derselben API wiederholen.
    POST https://api.prod.nsxti.vmware.com/1.0/auth/register
    Text:
    {
    "license_keys":["XXXXX-XXXXX-XXXXX-XXXXX"],
    "device_type":"NSX-IDPS",
    "client_id": "client_username"
    }
    Antwort:
    {"client_id":"client_username", 
    "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
    }
  2. Dieser API-Aufruf authentifiziert den Client mithilfe von „client_id“ und „client_secret“ und generiert ein Autorisierungstoken, das in den Kopfzeilen von Anforderungen an IDS-Signatur-APIs verwendet werden soll. Das Token ist 60 Minuten lang gültig. Wenn das Token abgelaufen ist, muss sich der Client mithilfe von „client_id“ und „client_secret“ erneut authentifizieren.
    POST https://api.prod.nsxti.vmware.com/1.0/auth/authenticate
    Text:
    {"client_id":"client_username", 
    "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
    }
    Antwort:
    {
        "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg",
        "token_type": "bearer",
        "expires_in": 3600,
        "scope": "[distributed_threat_features]"
    }
  3. Die Antwort auf diesen Befehl enthält den Link für die ZIP-Datei. In NSX Cloud werden alle 24 Stunden die Signaturen aus dem Git-Hub-Repository heruntergeladen und in einer ZIP-Datei gespeichert. Kopieren Sie die URL der Signaturen und fügen Sie sie in Ihren Browser ein. Daraufhin wird die ZIP-Datei heruntergeladen.
    GET https://api.prod.nsxti.vmware.com/1.0/intrusion-services/signatures   

    Auf der Registerkarte „Header“ erhält der Autorisierungsschlüssel den „access_token“-Wert aus der API-Antwort zum Authentifizieren.

    Authorization eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg
    Antwort:
    {
    "signatures_url": "https://ncs-idps-us-west-2-prod-signatures.s3.us-west-2.amazonaws.com/a07fe284ff70dc67194f2e7cf1a8178d69570528.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXdlc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfGlOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7KT46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZwYxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuSUHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzPMVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz-Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz-Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e"
    }
  4. Navigieren Sie zu Sicherheit > Verteilte IDS > Einstellungen. Klicken Sie in der rechten Ecke auf IDS-Signaturen hochladen. Navigieren Sie zu der gespeicherten ZIP-Signaturdatei und laden Sie die Datei hoch. Sie können auch die ZIP-Signaturdatei auch mithilfe des API-Aufrufs hochladen:
    POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures

Fehlercode-Verarbeitung für Authentifizierungs-API

Dies ist ein Beispiel für eine Fehlerantwort der Authentifizierungs-API:

{
"error_code":100101,
"error_message":"XXXXX"
}
  • Wenn Sie einen Fehlercode von 100101-100150 erhalten haben, registrieren Sie sich erneut mit der gleichen Client-ID.
  • Wenn Sie einen Fehlercode von 100151-100200 erhalten haben, registrieren Sie sich erneut mit einer anderen Client-ID.