Puede configurar las funciones NSX IDS/IPS y Prevención de malware de NSX en el entorno de NSX-T Data Center solo si el centro de datos utiliza una licencia adecuada.

Para obtener información sobre las licencias necesarias para ejecutar la solución NSX Advanced Threat Prevention, consulte la sección Licencias de seguridad de Tipos de licencia.

La preparación de NSX-T Data Center para NSX Intrusion Detection/Prevention y Prevención de malware de NSX implica varios pasos. Para realizar estos pasos, puede usar el asistente Configuración de prevención de malware e IDS/IPS.

El asistente de configuración es como un proceso de incorporación que le guiará por una secuencia de pasos para preparar el centro de datos para estas dos funciones de seguridad. Para ejecutar este asistente, desplácese hasta Seguridad > IDS/IPS y Prevención de malware.

Si NSX-T detecta que no se agregaron las licencias adecuadas, la página mostrará el siguiente texto:

Las funciones IDS/IPS y Prevención de malware no son compatibles con la licencia actual.

Si NSX-T detecta que se agregaron las licencias adecuadas, la página mostrará los botones Iniciar configuración y Omitir configuración.

Para iniciar el asistente de configuración, haga clic en Iniciar configuración. Siga las instrucciones que aparecen en pantalla y esta documentación para completar los pasos del asistente.

  • Si desea guardar el progreso en cualquier etapa y salir del asistente, haga clic en Volver a la página principal. Más adelante, podrá continuar con la configuración desde donde la dejó.
  • Si desea restablecer el asistente de configuración y volver a empezar desde el principio, haga clic en Cancelar. Al cancelar la configuración, se eliminarán las selecciones realizadas en el asistente, pero no se eliminarán las implementaciones que se completaron en el asistente. Por ejemplo, si completó la implementación de NSX Application Platform y la máquina virtual de servicio de Prevención de malware de NSX en clústeres de hosts antes de restablecer el asistente, estas implementaciones se conservarán.
  • Si no desea utilizar el asistente de configuración y prefiere configurar las dos funciones de seguridad por su cuenta más adelante, haga clic en Omitir configuración. NSX Manager no volverá a mostrar este asistente. Más adelante, podrá desplazarse hasta Seguridad > IDS/IPS y prevención de malware > Configuración y configurar el centro de datos para ambas funciones. Para obtener información sobre el uso de la página Configuración de IDS/IPS y prevención de malware, consulte Configurar NSX IDS/IPS y Prevención de malware de NSX.
De forma predeterminada, todas las casillas de las tarjetas de las funciones IDS/IPS y Prevención de malware están seleccionadas para la configuración. Si es necesario, puede editar las selecciones. Cuando esté listo para continuar, haga clic en Siguiente. Las selecciones determinan las pestañas que se muestran en el asistente, como se explica en la siguiente tabla.
Funciones seleccionadas Pestañas mostradas

IDS/IPS en el tráfico este-oeste

o

IDS/IPS en tráfico norte-sur (modo de vista previa técnica)

Configurar proxy de NSX

Administrar firmas

Habilitar nodos

Prevención de malware solo en el tráfico este-oeste

Configurar proxy de NSX

Implementar NSX Application Platform

Implementar máquina virtual de servicio

Prevención de malware solo en el tráfico norte-sur

Configurar proxy de NSX

Implementar NSX Application Platform

Habilitar nodos

Prevención de malware en el tráfico este-oeste y el tráfico norte-sur

Configurar proxy de NSX

Implementar NSX Application Platform

Implementar máquina virtual de servicio

Habilitar nodos

Todas las funciones seleccionadas

Se muestran las cinco pestañas del asistente

Configurar el servidor proxy de NSX para la conectividad a Internet

Prevención de malware de NSX solo puede funcionar cuando su NSX-T Data Center está conectado a Internet. IDS/IPS de NSX puede funcionar en una red sin conectividad a Internet, pero tendrá que actualizar manualmente las firmas de IDS/IPS.

Haga clic en el vínculo Ir a servidor proxy de NSX y especifique los siguientes ajustes:
  • Esquema (HTTP o HTTPS)
  • Dirección IP del host
  • Número de puerto
  • Nombre de usuario y contraseña

Implementar NSX Application Platform

Prevención de malware de NSX requiere la implementación de ciertos microservicios en NSX Application Platform. Primero debe implementar NSX Application Platform y, a continuación, activar la función Prevención de malware de NSX. Después de activar esta función, los microservicios necesarios para Prevención de malware de NSX se implementan en la plataforma.

Para resumir, debe realizar las siguientes tareas en el orden indicado:
  1. Implementar NSX Application Platform
  2. Activar Prevención de malware de NSX

Implementar máquina virtual de servicio

Para el tráfico este-oeste en el centro de datos, debe implementar el servicio de NSX Distributed Malware Prevention en clústeres de hosts de vSphere preparados para NSX. Cuando se implementa este servicio, se instala una máquina virtual de servicio (SVM) en cada host del clúster de vSphere y se habilita Prevención de malware de NSX en el clúster del host.

Un gráfico de anillos en esta página muestra el número de clústeres de hosts del centro de datos en los que se implementa el servicio de NSX Distributed Malware Prevention y en los que no.

Para obtener instrucciones detalladas sobre la implementación del servicio NSX Distributed Malware Prevention en un clúster de hosts, consulte Implementar el servicio NSX Distributed Malware Prevention.

Una vez que se haya realizado la implementación del servicio en los clústeres de hosts, vuelva a esta página en el asistente y haga clic en Siguiente para continuar.

Administrar firmas

Cuando se configura la conectividad de Internet en el centro de datos, NSX Manager comprueba la disponibilidad de nuevas firmas de detección de intrusiones en la nube cada 20 minutos de forma predeterminada. Cuando haya una nueva actualización disponible, se mostrará un banner en la página con el vínculo Actualizar ahora.

Si el centro de datos no tiene conectividad a Internet, puede descargar manualmente el archivo del paquete de firmas de IDS (.zip) y, a continuación, cargar el archivo en NSX Manager. Para obtener instrucciones detalladas, consulte Descargar y cargar firmas de detección de intrusiones de NSX sin conexión.

Administración de firmas

Las tareas de administración de firmas son opcionales. Si es necesario, puede hacerlo más adelante en la página Configuración de IDS/IPS y prevención de malware. (Seguridad > IDS/IPS y prevención de malware > Configuración > IDS/IPS).

  • Active la opción Actualización automática de nuevas versiones para aplicar automáticamente firmas de detección de intrusiones a los hosts y las instancias de Edge en el centro de datos después de que se descarguen de la nube.

    Cuando esta opción está desactivada, las firmas se detendrán en la versión de la lista.

  • Haga clic en Ver y cambiar versiones para agregar otra versión de las firmas, además de la predeterminada.

    Actualmente, se mantienen dos versiones de las firmas. Cada vez que se produzca un cambio en el número de identificación de la confirmación de versión, se descargará una nueva versión.

  • Haga clic en Ver y administre el conjunto de firmas global para cambiar globalmente la acción de firmas específicas para alertar, descartar o rechazar.

    Seleccione una Acción para la firma y haga clic en Guardar. Los cambios realizados en la configuración global de administración de firmas se aplican a todos los perfiles de IDS/IPS. Sin embargo, si actualiza la configuración de firma en un perfil de IDS/IPS, la configuración del perfil tendrá prioridad.

    En la siguiente tabla se explica el significado de cada acción de firma.

    Acción Descripción

    Alerta

    Se genera una alerta y no se lleva a cabo ninguna acción preventiva automática.

    Quitar

    Se genera una alerta y se descartan los paquetes problemáticos.

    Rechazar

    Se genera una alerta y se descartan los paquetes problemáticos. Para los flujos de TCP, se genera un paquete de restablecimiento de TCP mediante IDS y se envía al origen y destino de la conexión. Para otros protocolos, se envía un paquete ICMP-error al origen y al destino de la conexión.

Habilitar nodos para IDS/IPS y Prevención de malware

En la sección Activar hosts y clústeres para el tráfico de este a oeste, realice las siguientes configuraciones:

  • Active la función IDS/IPS de NSX en los hosts ESXi independientes.
  • Seleccione los clústeres de hosts ESXi en los que desea activar la función IDS/IPS de NSX en el tráfico este-oeste.
  • Si el servicio de NSX Distributed Malware Prevention aún no está implementado en los clústeres de hosts ESXi, haga clic en el vínculo Definido en la implementación de la máquina virtual de servicio en la columna Prevención de malware. Para obtener instrucciones sobre cómo implementar el servicio NSX Distributed Malware Prevention en un clúster de hosts, consulte Implementar el servicio NSX Distributed Malware Prevention.
Nota:
  • No habilite NSX Distributed IDS/IPS en un entorno que está usando el Equilibrador de carga distribuido. NSX Data Center no admite IDS/IPS con un equilibrador de carga distribuido.
  • Para que NSX Distributed IDS/IPS funcione, se debe habilitar el firewall distribuido (DFW). Si el tráfico está bloqueado por una regla de DFW, IDS/IPS no podrá ver el tráfico.
En la sección Activar puertas de enlace para el tráfico norte-sur, realice las siguientes configuraciones:
  • Seleccione las puertas de enlace de nivel 1 en las que desea activar la función IDS/IPS de NSX en el tráfico norte-sur.
  • Seleccione las puertas de enlace de nivel 1 en las que desea activar Prevención de malware de NSX en el tráfico norte-sur.
Importante: En el tráfico norte-sur, NSX-T Data Center 3.2 admite lo siguiente:
  • La función Prevención de malware de NSX solo en puertas de enlace de nivel 1.
  • La función IDS/IPS de NSX en el firewall de puerta de enlace solo en puertas de enlace de nivel 1 en modo de vista previa técnica. Utilícela únicamente con motivos experimentales.