NSX-T IDS/IPS puede aplicar automáticamente firmas a los hosts y actualizar las firmas de detección de intrusiones comprobando nuestro servicio basado en la nube.

Para que IDS/IPS funcione, se debe habilitar el firewall distribuido (DFW). Si el tráfico está bloqueado por una regla de DFW, IDS/IPS no podrá ver el tráfico.

La prevención y detección de intrusiones se habilita en hosts independientes habilitando la barra de alternancia. Si se detectan clústeres de VC, IDS/IPS también se puede habilitar en un clúster. Para ello, seleccione el clúster y haga clic en Habilitar.

Firmas

Las firmas se aplican a las reglas de IDS a través de perfiles. Se aplica un solo perfil al tráfico que coincide. De forma predeterminada, NSX Manager comprueba si hay nuevas firmas una vez al día. Las nuevas versiones de actualización de firma se publican cada dos semanas (con actualizaciones adicionales de 0 días no programadas). Cuando hay una nueva actualización disponible, se muestra un banner en la página con el vínculo Actualizar ahora.

Si se selecciona Actualización automática de nuevas versiones, las firmas se aplicarán automáticamente a los hosts después de que se descarguen de la nube. Si la actualización automática está deshabilitada, las firmas se detendrán en la versión de la lista. Haga clic en Ver y cambiar versiones para agregar otra versión, además de la predeterminada. Actualmente, se mantienen dos versiones de las firmas. Cada vez que se produzca un cambio en el número de identificación de la confirmación de versión, se descargará una nueva versión.

Si se configura un servidor proxy para que NSX Manager acceda a Internet, haga clic en Ajustes del proxy y complete la configuración.

Administración de firmas globales

Las firmas se pueden cambiar por perfil y globalmente. Los cambios en la firma realizados en los perfiles reemplazan los cambios globales. Para cambiar globalmente una acción de firma específica a alerta/descartar/rechazar, haga clic en Ver y administrar el conjunto de firmas global. Seleccione una Acción para la firma y haga clic en Guardar.
Acción Descripción
Alerta Se genera una alerta y no se lleva a cabo ninguna acción preventiva automática.
Quitar Se genera una alerta y se descartan los paquetes problemáticos.
Rechazar Se genera una alerta y se descartan los paquetes problemáticos. Para los flujos de TCP, se genera un paquete de restablecimiento de TCP mediante IDS y se envía al origen y destino de la conexión. Para otros protocolos, se envía un paquete ICMP-error al origen y al destino de la conexión.

Descargar y cargar firmas sin conexión

NSX-T IDS/IPS puede aplicar automáticamente firmas a los hosts y actualizar las firmas de detección de intrusiones comprobando nuestro servicio basado en la nube. A partir NSX-T Data Center 3.1.2, para descargar la firma de IDS/IPS, vaya a https://api.prod.nsxti.vmware.com/. Para las nuevas actualizaciones de firma, asegúrese de que la implementación de NSX posterior a la actualización tenga acceso a https://api.prod.nsxti.vmware.com/.

Nota: No se admiten los paquetes que no tienen los archivos classification.config y changelog.jsn presentes en el archivo tar.gz.
Para descargar y cargar un paquete de firmas, cuando NSX Manager no tiene acceso a Internet:
  1. Esta API es la primera a la que se llamará antes de que se inicie cualquier comunicación con el servicio en la nube. Las claves de licencia son de la licencia de NSX Distributed Threat. El client_id es el nombre proporcionado por el usuario. Client_secret se genera y se utiliza como la solicitud de la API de autenticación. Si el cliente se registró previamente, pero no tiene acceso al client_id y al client_secret, el cliente deberá volver a registrarse con la misma API.
    POST https://api.prod.nsxti.vmware.com/1.0/auth/register
    Cuerpo:
    {
    "license_keys":["XXXXX-XXXXX-XXXXX-XXXXX"],
    "device_type":"NSX-IDPS",
    "client_id": "client_username"
    }
    Respuesta:
    {"client_id":"client_username", 
    "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
    }
  2. Esta llamada API autentica al cliente mediante el client_id y el client_secret, y genera un token de autorización para utilizarlo en los encabezados de las solicitudes de las API de firmas de IDS. El token es válido durante 60 minutos. Si el token está caducado, el cliente deberá volver a autenticarse con el client_id y el client_secret.
    POST https://api.prod.nsxti.vmware.com/1.0/auth/authenticate
    Cuerpo:
    {"client_id":"client_username", 
    "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
    }
    Respuesta:
    {
        "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg",
        "token_type": "bearer",
        "expires_in": 3600,
        "scope": "[distributed_threat_features]"
    }
  3. La respuesta a este comando tiene el vínculo para el archivo ZIP. NSX Cloud descarga las firmas del repositorio de GitHub cada 24 horas y guarda las firmas en un archivo ZIP. Copie y pegue la URL de las firmas en el navegador y el archivo ZIP se descargará.
    GET https://api.prod.nsxti.vmware.com/1.0/intrusion-services/signatures   

    En la pestaña Encabezados, la clave de autorización tendrá el valor access_token de la respuesta de la API de autenticación.

    Authorization eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg
    Respuesta:
    {
    "signatures_url": "https://ncs-idps-us-west-2-prod-signatures.s3.us-west-2.amazonaws.com/a07fe284ff70dc67194f2e7cf1a8178d69570528.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXdlc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfGlOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7KT46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZwYxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuSUHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzPMVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz-Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz-Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e"
    }
  4. Desplácese hasta Seguridad > IDS distribuido > Configuración. Haga clic en Cargar firmas de IDS en la esquina derecha. Desplácese hasta el archivo ZIP de firmas guardado y cárguelo. También puede actualizar el archivo ZIP de firmas usando la llamada API:
    POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures

Gestión de códigos de error de la API de autenticación

Este es un ejemplo de respuesta de error de la API de autenticación:

{
"error_code":100101,
"error_message":"XXXXX"
}
  • Si recibió un código de error entre el 100101 y el 100150, vuelva a registrarse con el mismo identificador de cliente.
  • Si recibió un código de error entre el 100151 y el 100200, vuelva a registrarse con un identificador de cliente diferente.