La interfaz de usuario de NSX Manager proporciona una tabla de reglas comunes para agregar reglas para NSX Intrusion Detection/Prevention y Prevención de malware de NSX en un firewall distribuido.

  • En NSX 4.0, la detección y prevención de malware en el tráfico este-oeste distribuido solo se admite para archivos ejecutables portátiles (PE) Windows extraídos por la instancia de Thin Agent de GI en los endpoints invitados (VM) Windows. NSX Distributed Malware Prevention no admite otras categorías de archivos.
  • A partir de NSX 4.0.1.1, la detección y prevención de malware en el tráfico este-oeste distribuido es compatible con todas las categorías de archivos en endpoints invitados de Linux y Windows. Para ver la lista de categorías de archivos compatibles, consulte Categorías de archivos compatibles con Prevención de malware de NSX.
  • El límite de tamaño máximo de archivo admitido es 64 MB.

Requisitos previos

Para Prevención de malware de NSX:
  • La máquina virtual de servicio de Prevención de malware de NSX se implementa en clústeres de hosts de vSphere preparados para NSX. Para obtener instrucciones detalladas, consulte Implementar el servicio NSX Distributed Malware Prevention.
  • Cómo agregar un perfil de prevención de malware.
  • Cree grupos y agregue las máquinas virtuales que desea proteger contra malware en estos grupos. Puede agregar máquinas virtuales como miembros estáticos o definir criterios de pertenencia dinámicos que evalúen a las máquinas virtuales como miembros efectivos. Para obtener instrucciones detalladas, consulte Agregar un grupo.
Para NSX IDS/IPS:
  • Agregar un perfil de NSX IDS/IPS.
  • Habilite o active NSX IDS/IPS en los clústeres de hosts de vSphere. (Seguridad > IDS/IPS y prevención de malware > Configuración > Compartido).

Procedimiento

  1. Desde su explorador, inicie sesión en un NSX Manager en https://nsx-manager-ip-address.
  2. Desplácese a Seguridad > IDS/IPS y prevención de malware > Reglas distribuidas.
  3. Haga clic en Agregar directiva para crear una sección para organizar las reglas.
    1. Introduzca un nombre para la directiva.
    2. (opcional) En la fila de la directiva, haga clic en el icono de engranaje para configurar las opciones avanzadas de la directiva. Estas opciones solo se aplican a NSX Distributed IDS/IPS y no a NSX Distributed Malware Prevention.
      Opción Descripción

      Con estado

      Un firewall con estado supervisa el estado de las conexiones activas y utiliza esta información para determinar a qué paquetes se les permite atravesar el firewall.

      Bloqueado

      La directiva se puede bloquear para impedir que varios usuarios editen las mismas secciones. Cuando bloquea una sección, debe incluir un comentario.

      Algunas funciones, como administrador de organización, tienen credenciales de acceso completo y no se pueden bloquear. Consulte Control de acceso basado en funciones.

  4. Haga clic en Agregar regla y configure las opciones de la regla.
    1. Introduzca un nombre para la regla.
    2. Configure las columnas Orígenes, Destinos y Servicios en función del tráfico que requiera la inspección de IDS. IDS admite los tipos de grupo Genérico y Solo direcciones IP para el origen y el destino.
      Estas tres columnas no son compatibles con las reglas de firewall de prevención de malware distribuido. Manténgalos como Cualquiera. Sin embargo, debe limitar el ámbito de las reglas de prevención de malware distribuido seleccionando los grupos en la columna Se aplica a.
    3. En la columna Perfiles de seguridad, seleccione el perfil que se utilizará para esta regla.
      Puede seleccionar un perfil de NSX IDS/IPS o un perfil de Prevención de malware de NSX, pero no ambos. En otras palabras, solo se admite un perfil de seguridad en una regla.
    4. En la columna Se aplica a, seleccione una de las opciones.
      Opción Descripción
      DFW Actualmente, las reglas de prevención de malware distribuido no admiten DFW en Se aplica a. Las reglas de IDS/IPS distribuido se pueden aplicar a DFW. Las reglas de IDS/IPS se aplican a las máquinas virtuales de carga de trabajo en todos los clústeres de hosts que se activan con la función IDS/IPS de NSX.
      Grupos La regla se aplica solo a las máquinas virtuales que son miembros de los grupos seleccionados.
    5. En la columna Modo, seleccione una de las opciones.
      Opción Descripción
      Solo detectar

      Para el servicio Prevención de malware de NSX: la regla detecta archivos malintencionados en las máquinas virtuales, pero no se realiza ninguna acción preventiva. En otras palabras, los archivos malintencionados se descargan en las máquinas virtuales.

      Para el servicio NSX IDS/IPS: la regla detecta intrusiones en las firmas y no realiza ninguna acción.

      Detectar y prevenir

      Para el servicio Prevención de malware de NSX: la regla detecta archivos malintencionados conocidos en las máquinas virtuales y los bloquea para que no se descarguen en las máquinas virtuales.

      Para el servicio NSX IDS/IPS: la regla detecta intrusiones frente a firmas y descarta o rechaza el tráfico en función de la configuración de firma en el perfil de IDS/IPS o en la configuración de firma global.

    6. (opcional) Haga clic en el icono de engranaje para configurar los ajustes de otra regla: Esta configuración solo se aplica a NSX Distributed IDS/IPS y no a NSX Distributed Malware Prevention.
      Opción Descripción
      Registro El registro se desactiva de forma predeterminada. Los registros se almacenan en el archivo /var/log/dfwpktlogs.log de los hosts ESXi.
      Dirección Hace referencia a la dirección del tráfico desde el punto de vista del objeto de destino. IN significa que solo se comprobará el tráfico hacia el objeto. OUT significa que solo se comprobará el tráfico procedente del objeto. In-Out significa que se comprobará el tráfico en ambas direcciones.
      Protocolo IP Aplique la regla basada en IPv4, IPv6 o tanto en IPv4 como en IPv6.
      Sobresuscripción A partir de NSX 4.0.1.1, puede configurar si el exceso de tráfico debe descartarse o debe omitir el motor IDS/IPS en caso de sobresuscripción. El valor introducido aquí superará el valor establecido para la sobresuscripción en la configuración global.
      Etiqueta de registro La etiqueta de registro está almacenada en el registro del firewall cuando el registro está habilitado.
  5. (opcional) Repita el paso 4 para agregar más reglas en la misma directiva.
  6. Haga clic en Publicar.
    Las reglas se guardan y se envían a los hosts. Puede hacer clic en el icono de gráfico para ver las estadísticas de las reglas de NSX Distributed IDS/IPS.
    Nota: No se admiten las estadísticas de reglas para reglas de firewall de NSX Distributed Malware Prevention.

Resultados

Cuando se extraen archivos en las máquinas virtuales del endpoint, los eventos de archivo se generan y se muestran en el panel de control Prevención de malware y en el panel de control Información general de seguridad. Si los archivos son malintencionados, se aplica la directiva de seguridad. Si los archivos son benignos, se descargan en las máquinas virtuales.

Para las reglas configuradas con el perfil de IDS/IPS, si el sistema detecta tráfico malintencionado, genera un evento de intrusión y lo muestra en el panel de control IDS/IPS. El sistema descarta, rechaza o genera una alarma para el tráfico en función de la acción que configuró en la regla.

Ejemplo

Para ver un ejemplo de extremo a extremo de la configuración de una regla de firewall distribuido para la detección y prevención de malware en endpoints de máquina virtual, consulte Ejemplo: Agregar reglas para NSX Distributed Malware Prevention.

Qué hacer a continuación

Supervise y analice los eventos de archivos en el panel de control Prevención de malware. Para obtener más información, consulte Supervisar eventos de archivos.

Supervise y analice los eventos de intrusión en el panel de control IDS/IPS. Para obtener más información, consulte Supervisar eventos de IDS/IPS.