NSX-T IDS/IPS puede aplicar automáticamente firmas a los hosts y actualizar las firmas de detección de intrusiones comprobando nuestro servicio basado en la nube.
Para que IDS/IPS funcione, se debe habilitar el firewall distribuido (DFW). Si el tráfico está bloqueado por una regla de DFW, IDS/IPS no podrá ver el tráfico.
La prevención y detección de intrusiones se habilita en hosts independientes habilitando la barra de alternancia. Si se detectan clústeres de VC, IDS/IPS también se puede habilitar en un clúster. Para ello, seleccione el clúster y haga clic en Habilitar.
Firmas
Las firmas se aplican a las reglas de IDS a través de perfiles. Se aplica un solo perfil al tráfico que cumple las reglas. De forma predeterminada, NSX Manager comprueba si hay nuevas firmas una vez al día. Las nuevas versiones de actualización de firma se publican cada dos semanas (con actualizaciones adicionales de 0 días no programadas). Cuando hay una nueva actualización disponible, se muestra un banner en la página con el vínculo Actualizar ahora.
Si se selecciona Actualización automática de nuevas versiones, las firmas se aplicarán automáticamente a los hosts después de que se descarguen de la nube. Si la actualización automática está deshabilitada, las firmas se detendrán en la versión de la lista. Haga clic en Ver y cambiar versiones para agregar otra versión, además de la predeterminada. Actualmente, se mantienen dos versiones de las firmas. Cada vez que se produzca un cambio en el número de identificación de la confirmación de versión, se descargará una nueva versión.
Si se configura un servidor proxy para que NSX Manager acceda a Internet, haga clic en Ajustes del proxy y complete la configuración.
Administración de firmas globales
Acción | Descripción |
---|---|
Alerta | Se genera una alerta y no se lleva a cabo ninguna acción preventiva automática. |
Quitar | Se genera una alerta y se descartan los paquetes problemáticos. |
Rechazar | Se genera una alerta y se descartan los paquetes problemáticos. Para los flujos de TCP, se genera un paquete de restablecimiento de TCP mediante IDS y se envía al origen y destino de la conexión. Para otros protocolos, se envía un paquete ICMP-error al origen y al destino de la conexión. |
Descargar y cargar firmas sin conexión
NSX-T IDS/IPS puede aplicar automáticamente firmas a los hosts y actualizar las firmas de detección de intrusiones comprobando nuestro servicio basado en la nube. A partir NSX-T Data Center 3.1.2, para descargar la firma de IDS/IPS, vaya a https://api.prod.nsxti.vmware.com/. Para las nuevas actualizaciones de firma, asegúrese de que la implementación de NSX posterior a la actualización tenga acceso a https://api.prod.nsxti.vmware.com/. En caso de descarga a través del proxy, asegúrese de que también se concede acceso al dominio *.amazonaws.com.
- Esta API es la primera a la que se llamará antes de que se inicie cualquier comunicación con el servicio en la nube. Envíe todas las licencias y se le proporcionarán los permisos necesarios. client_id es el nombre proporcionado por el usuario. Se generará Client_secret y se utilizará como la solicitud de la API de autenticación. Si el cliente se registró previamente, pero no tiene acceso a client_id ni a client_secret, el cliente deberá volver a registrarse con la misma API.
POST https://api.prod.nsxti.vmware.com/1.0/auth/register
Cuerpo:{ "license_keys":["XXXXX-XXXXX-XXXXX-XXXXX"], "device_type":"NSX-Idps-Offline-Download", "client_id": "client_username" }
Respuesta:{"client_id":"client_username", "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ=" }
- Esta llamada API autentica al cliente mediante el client_id y el client_secret, y genera un token de autorización para utilizarlo en los encabezados de las solicitudes de las API de firmas de IDS. El token es válido durante 60 minutos. Si el token está caducado, el cliente deberá volver a autenticarse con el client_id y el client_secret.
POST https://api.prod.nsxti.vmware.com/1.0/auth/authenticate
Cuerpo:{"client_id":"client_username", "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ=" }
Respuesta:{ "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg", "token_type": "bearer", "expires_in": 3600, "scope": "[idps_scope]" }
- La respuesta a este comando tiene el vínculo para el archivo ZIP. NSX Cloud descarga las firmas del repositorio de GitHub cada 24 horas y guarda las firmas en un archivo ZIP. Copie y pegue la URL de las firmas en el navegador y el archivo ZIP se descargará.
GET https://api.prod.nsxti.vmware.com/1.0/intrusion-services/signatures
En la pestaña Encabezados, la clave de autorización tendrá el valor access_token de la respuesta de la API de autenticación.
Authorization: eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg
Respuesta:{ "signatures_url": "https://ncs-idps-us-west-2-prod-signatures.s3.us-west-2.amazonaws.com/a07fe284ff70dc67194f2e7cf1a8178d69570528.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXdlc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfGlOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7KT46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZwYxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuSUHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzPMVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz-Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz-Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e" }
- Desplácese hasta Cargar firmas de IDS en la esquina derecha. Desplácese hasta el archivo ZIP de firmas guardado y cárguelo. También puede actualizar el archivo ZIP de firmas usando la llamada API:
POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures
. Haga clic en
Gestión de códigos de error de la API de autenticación
Este es un ejemplo de respuesta de error de la API de autenticación:
{ "error_code":100101, "error_message":"XXXXX" }
- Si recibió un código de error entre el 100101 y el 100150, vuelva a registrarse con el mismo identificador de cliente.
- Si recibió un código de error entre el 100151 y el 100200, vuelva a registrarse con un identificador de cliente diferente.