NSX-T IDS/IPS kann mithilfe unseres cloudbasierten Diensts automatisch Signaturen auf Ihre Hosts anwenden und Signaturen zur Erkennung von Eindringversuchen aktualisieren.
Damit IDS/IPS funktionieren, muss die verteilte Firewall (DFW) aktiviert sein. Wenn der Datenverkehr durch eine DFW-Regel blockiert ist, kann IDS/IPS den Datenverkehr nicht sehen.
Die Erkennung und Verhinderung von Eindringversuchen wird auf eigenständigen Hosts aktiviert, indem Sie die Leiste Aktiviert umschalten. Wenn VC-Cluster erkannt werden, kann IDS/IPS ebenfalls auf Clusterbasis aktiviert werden. Wählen Sie dazu den Cluster aus und klicken Sie auf Aktivieren.
Signaturen
Signaturen werden über Profile auf IDS-Regeln angewendet. Ein einziges Profil wird auf übereinstimmenden Datenverkehr angewendet. Standardmäßig führt NSX Manager einmal pro Tag eine Überprüfung auf neue Signaturen durch. Neue Signaturaktualisierungsversionen werden alle zwei Wochen (mit zusätzlichen nicht geplanten spontanen Updates) veröffentlicht. Wenn ein neues Update verfügbar ist, befindet sich auf der Seite ein Banner mit dem Link Jetzt Update durchführen.
Wenn Neue Versionen automatisch aktualisieren ausgewählt ist, werden die Signaturen automatisch auf Ihre Hosts angewendet, nachdem Sie aus der Cloud heruntergeladen wurden. Wenn die automatische Aktualisierung deaktiviert ist, werden die Signaturen bei der aufgelisteten Version angehalten. Klicken Sie auf Versionen anzeigen und ändern, um zusätzlich zur Standardeinstellung eine weitere Version hinzuzufügen. Momentan werden zwei Signaturen beibehalten. Bei jeder Änderung der Commit-Identifikationsnummer der Version wird eine neue Version heruntergeladen.
Wenn ein Proxyserver so konfiguriert ist, dass NSX Manager auf das Internet zugreift, klicken Sie auf Proxy-Einstellungen und schließen Sie die Konfiguration ab.
Globale Signaturverwaltung
Aktion | Beschreibung |
---|---|
Warnung | Eine Warnung wird generiert und es wird keine automatische vorbeugende Aktion durchgeführt. |
Verwerfen | Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen. |
Ablehnen | Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen. Für TCP-Flows wird ein TCP-Zurücksetzungspaket von IDS generiert und sowohl an die Quelle als auch an das Ziel der Verbindung gesendet. Bei anderen Protokollen wird ein ICMP-Fehlerpaket an Quelle und Ziel der Verbindung gesendet. |
Offline-Herunterladen und -Hochladen von Signaturen
NSX-T IDS/IPS kann mithilfe unseres cloudbasierten Diensts automatisch Signaturen auf Ihre Hosts anwenden und Signaturen zur Erkennung von Eindringversuchen aktualisieren. Ab NSX-T Data Center 3.1.2 können Sie die IDS/IPS-Signatur unter https://api.prod.nsxti.vmware.com/ herunterladen. Stellen Sie für neue Signaturaktualisierungen sicher, dass die NSX-Bereitstellung nach dem Upgrade Zugriff auf https://api.prod.nsxti.vmware.com/ hat. Stellen Sie im Falle eines Downloads über den Proxy sicher, dass der Zugriff auf die Domäne *.amazonaws.com ebenfalls gewährt wird.
- Diese API ist die erste, die vor dem Kommunikationsstart mit dem Cloud-Dienst aufgerufen wird. Senden Sie alle Lizenzen, dann erhalten Sie die erforderliche Berechtigung. Die client_id ist der vom Benutzer angegebene Benutzername. Das Client_secret wird generiert und als Anfrage für die Authentifizierungs-API verwendet. Wenn der Client zuvor registriert wurde, aber keinen Zugriff auf den client_id und client_secret hat, muss der Client die Registrierung mithilfe derselben API wiederholen.
POST https://api.prod.nsxti.vmware.com/1.0/auth/register
Text:{ "license_keys":["XXXXX-XXXXX-XXXXX-XXXXX"], "device_type":"NSX-Idps-Offline-Download", "client_id": "client_username" }
Antwort:{"client_id":"client_username", "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ=" }
- Dieser API-Aufruf authentifiziert den Client mithilfe von „client_id“ und „client_secret“ und generiert ein Autorisierungstoken, das in den Kopfzeilen von Anforderungen an IDS-Signatur-APIs verwendet werden soll. Das Token ist 60 Minuten lang gültig. Wenn das Token abgelaufen ist, muss sich der Client mithilfe von „client_id“ und „client_secret“ erneut authentifizieren.
POST https://api.prod.nsxti.vmware.com/1.0/auth/authenticate
Text:{"client_id":"client_username", "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ=" }
Antwort:{ "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg", "token_type": "bearer", "expires_in": 3600, "scope": "[idps_scope]" }
- Die Antwort auf diesen Befehl enthält den Link für die ZIP-Datei. In NSX Cloud werden alle 24 Stunden die Signaturen aus dem Git-Hub-Repository heruntergeladen und in einer ZIP-Datei gespeichert. Kopieren Sie die URL der Signaturen und fügen Sie sie in Ihren Browser ein. Daraufhin wird die ZIP-Datei heruntergeladen.
GET https://api.prod.nsxti.vmware.com/1.0/intrusion-services/signatures
Auf der Registerkarte „Header“ erhält der Autorisierungsschlüssel den „access_token“-Wert aus der API-Antwort zum Authentifizieren.
Authorization: eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg
Antwort:{ "signatures_url": "https://ncs-idps-us-west-2-prod-signatures.s3.us-west-2.amazonaws.com/a07fe284ff70dc67194f2e7cf1a8178d69570528.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXdlc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfGlOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7KT46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZwYxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuSUHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzPMVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz-Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz-Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e" }
- Navigieren Sie zu IDS-Signaturen hochladen. Navigieren Sie zu der gespeicherten ZIP-Signaturdatei und laden Sie die Datei hoch. Sie können auch die ZIP-Signaturdatei auch mithilfe des API-Aufrufs hochladen:
POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures
. Klicken Sie in der rechten Ecke auf
Fehlercode-Verarbeitung für Authentifizierungs-API
Dies ist ein Beispiel für eine Fehlerantwort der Authentifizierungs-API:
{ "error_code":100101, "error_message":"XXXXX" }
- Wenn Sie einen Fehlercode von 100101-100150 erhalten haben, registrieren Sie sich erneut mit der gleichen Client-ID.
- Wenn Sie einen Fehlercode von 100151-100200 erhalten haben, registrieren Sie sich erneut mit einer anderen Client-ID.