El servicio de detección y prevención de intrusiones (IDS/IPS) distribuido supervisa el tráfico de red en el host en busca de actividad sospechosa.
Las firmas se pueden habilitar en función de la gravedad. Una puntuación más grave indica un mayor riesgo asociado al evento de intrusión. La gravedad se determina en función de lo siguiente:
- Gravedad especificada en la propia firma
- Puntuación de CVSS (sistema de puntuación de vulnerabilidades comunes) especificada en la firma
- Calificación asociada al tipo de clasificación
IDS detecta los intentos de intrusión en función de las secuencias de instrucciones malintencionadas ya conocidas. Los patrones detectados en IDS se conocen como firmas. Puede establecer una alerta específica de firma, descartar o rechazar las acciones de forma global, o bien por perfil.
Acción | Descripción |
---|---|
Alerta | Se genera una alerta y no se lleva a cabo ninguna acción preventiva automática. |
Quitar | Se genera una alerta y se descartan los paquetes problemáticos. |
Rechazar | Se genera una alerta y se descartan los paquetes problemáticos. Para los flujos de TCP, se genera un paquete de restablecimiento de TCP mediante IDS y se envía al origen y destino de la conexión. Para otros protocolos, se envía un paquete ICMP-error al origen y al destino de la conexión. |
Nota: No habilite el servicio de prevención y detección de intrusiones (IDS/IPS) distribuido en un entorno que utilice un equilibrador de carga distribuido.
NSX-T Data Center no admite el uso de IDS/IPS con un equilibrador de carga distribuido.
Configuración de IDS/IPS distribuido
- Habilite IDS/IPS en los hosts, descargue el conjunto de firmas más recientes y configure los ajustes de firma. Firmas y ajustes de IDS/IPS distribuido
- Cree perfiles de IDS/IPS. Perfiles de IDS/IPS distribuido
- Cree reglas de IDS/IPS. Reglas de IDS/IPS distribuido
- Compruebe el estado de IDS/IPS en los hosts.