NSX-T puede aplicar automáticamente firmas a los hosts y actualizar las firmas de detección de intrusiones comprobando nuestro servicio basado en la nube.

El firewall distribuido (DFW) también debe estar habilitado para que funcione IDS. Si el tráfico está bloqueado por una regla de DFW, IDS no verá el tráfico.

Habilita la detección de intrusiones en hosts independientes con la barra de alternancia Habilitar. Si se detectan clústeres de VC, IDS también se puede habilitar en un clúster. Para ello, seleccione el clúster y haga clic en Habilitar.

Firmas

Las firmas se aplican a las reglas de IDS a través de perfiles. Se aplica un solo perfil al tráfico que cumple las reglas. De forma predeterminada, NSX Manager comprueba si hay nuevas firmas una vez al día. Las nuevas versiones de actualización de firma se publican cada dos semanas (con actualizaciones adicionales de 0 días no programadas). Cuando hay una nueva actualización disponible, se muestra un banner en la página con el vínculo Actualizar ahora.

Si se selecciona Actualización automática de nuevas versiones, las firmas se aplicarán automáticamente a los hosts después de que se descarguen de la nube. Si la actualización automática está deshabilitada, las firmas se detendrán en la versión de la lista. Haga clic en Ver y cambiar versiones para agregar otra versión, además de la predeterminada. Actualmente, se mantienen dos versiones de las firmas. Cada vez que se produzca un cambio en el número de identificación de la confirmación de versión, se descargará una nueva versión.

Si se configura un servidor proxy para que NSX Manager acceda a Internet, haga clic en Ajustes del proxy y complete la configuración.

Descargar y cargar firmas sin conexión

Para descargar y cargar un paquete de firmas, cuando NSX Manager no tiene acceso a Internet:
  1. Esta API es la primera a la que se llamará antes de que se inicie cualquier comunicación con el servicio en la nube. Registra el cliente mediante la clave de licencia del cliente y genera las credenciales que el cliente debe usar. Envíe todas las licencias y se le proporcionarán los permisos necesarios. client_id es el nombre proporcionado por el usuario. client_secret se genera y se utiliza como la solicitud de la API de autenticación. Si el cliente se registró previamente, pero no tiene acceso a client_id ni a client_secret, el cliente deberá volver a registrarse con la misma API. 
    POST https://api.nsx-sec-prod.com/1.0/auth/register
    Cuerpo: 
    {
"license_keys":["xxxxx-xxxxx-xxxxx-xxxxx-xxxxx"],
"device_type":"NSX-Idps-Offline-Download",
"client_id": "client_username"
}
    Respuesta: 
    {"client_id":"client_username", 
"client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
}
  2. Esta llamada API autentica al cliente mediante el client_id y el client_secret, y genera un token de autorización para utilizarlo en los encabezados de las solicitudes de las API de firmas de IDS. El token es válido durante 60 minutos. Si el token está caducado, el cliente deberá volver a autenticarse con el client_id y el client_secret.
    POST https://api.nsx-sec-prod.com/1.0/auth/authenticate
    Cuerpo: 
    {"client_id":"client_username", 
"client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
}
    Respuesta: 
    {
    "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg",
    "token_type": "bearer",
    "expires_in": 3600,
    "scope": "[idps_scope]"
}
  3. La respuesta a este comando tiene el vínculo para el archivo ZIP. NSX Cloud descarga las firmas del repositorio de GitHub cada 24 horas y guarda las firmas en un archivo ZIP. Copie y pegue la URL de las firmas en el navegador y el archivo ZIP se descargará. 
    GET https://api.nsx-sec-prod.com/1.0/intrusion-services/signatures

    En la pestaña Encabezados, la clave de autorización tendrá el valor access_token de la respuesta de la API de autenticación.

    Authorization: eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg
    Respuesta: 
    {
"signatures_url": "https://ncs-idps-us-west-2-prod-signatures.s3.us-west-2.amazonaws.com/a07fe284ff70dc67194f2e7cf1a8178d69570528.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXdlc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfGlOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7KT46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZwYxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuSUHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzPMVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz-Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz-Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e"
}
  4. Desplácese hasta Seguridad > IDS distribuido > Configuración. Haga clic en Cargar firmas de IDS en la esquina derecha. Desplácese hasta el archivo ZIP de firmas guardado y cárguelo. También puede actualizar el archivo ZIP de firmas usando la llamada API:
    POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures