Der Distributed Intrusion Detection and Prevention Service (IDS/IPS) überwacht den Netzwerkdatenverkehr auf dem Host auf verdächtige Aktivitäten.
Signaturen können basierend auf dem Schweregrad aktiviert werden. Eine höhere Schweregrad-Punktzahl weist auf ein höheres Risiko hin, das mit dem Eindringereignis verbunden ist. Der Schweregrad wird anhand der folgenden Aspekte ermittelt:
- Schweregrad, der in der Signatur selbst angegeben ist
- CVSS(Common Vulnerability Scoring System)-Punktzahl, die in der Signatur angegeben ist
- Typenbewertung im Zusammenhang mit dem Klassifizierungstyp
IDS erkennt Eindringversuche basierend auf bereits bekannten böswilligen Anweisungssequenzen. Die erkannten Muster im IDs werden als Signaturen bezeichnet. Sie können spezifische Signaturaktionen zum Warnen/Ablegen/Ablehnen global oder nach Profil festlegen.
| Aktion | Beschreibung |
|---|---|
| Warnung | Eine Warnung wird generiert und es wird keine automatische vorbeugende Aktion durchgeführt. |
| Verwerfen | Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen. |
| Ablehnen | Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen. Für TCP-Flows wird ein TCP-Zurücksetzungspaket von IDS generiert und sowohl an die Quelle als auch an das Ziel der Verbindung gesendet. Bei anderen Protokollen wird ein ICMP-Fehlerpaket an Quelle und Ziel der Verbindung gesendet. |
Hinweis: Aktivieren Sie den Distributed Intrusion Detection Service (IDS/IPS) nicht in einer Umgebung, die einen Distributed Load Balancer verwendet.
NSX-T Data Center unterstützt die Verwendung von IDS/IPS mit einem Distributed Load Balancer nicht.
Verteilte IDS/IPS-Konfiguration:
- Aktivieren Sie IDS/IPS auf Hosts, laden Sie den neuesten Signatursatz herunter und konfigurieren Sie Signatureinstellungen. Verteilte IDS/IPS-Einstellungen und -Signaturen
- Erstellen Sie IDS/IPS-Profile. Verteilte IDS/IPS-Profile
- Erstellen Sie IDS/IPS-Regeln. Verteilte IDS/IPS-Regeln
- Überprüfen Sie den IDS/IPS-Status auf Hosts.
