Si omitió el asistente Configuración de IDS/IPS y prevención de malware sin establecer ninguna configuración, o si omitió el asistente a mitad del proceso de configuración, puede continuar con el proceso desde la página Configuración de IDS/IPS y prevención de malware.

Para abrir esta página en la interfaz de usuario de NSX Manager, desplácese hasta Seguridad > IDS/IPS y prevención de malware > Configuración.

Las opciones de configuración se agrupan en tres páginas de pestañas:
  • Compartido
  • IDS/IPS
  • Prevención de malware

Configuración compartida

Como su nombre indica, esta configuración es común para NSX IDS/IPS y Prevención de malware de NSX.
Configurar servidor proxy de Internet

NSX IDS/IPS no requiere una conexión a Internet para funcionar. NSX IDS/IPS usa firmas para detectar y evitar intrusiones. Si su entorno de NSX tiene conexión a Internet, NSX Manager podrá descargar automáticamente las firmas de detección de intrusiones más recientes directamente de Internet o a través de un servidor proxy de NSX. Si la conectividad a Internet no está configurada en su entorno de NSX, puede utilizar las API para descargar manualmente el archivo de paquete de firmas de detección de intrusiones de NSX (.zip) y, a continuación, cargar el paquete de firmas en NSX Manager. Para obtener más información sobre cómo cargar las firmas manualmente, consulte Descargar y cargar firmas de detección de intrusiones de NSX sin conexión.

Prevención de malware de NSX también utiliza firmas para detectar y prevenir malware. Sin embargo, NSX Manager solo podrá descargar las firmas más recientes cuando su entorno de NSX tenga conexión a Internet. No puede cargar manualmente las firmas más recientes en NSX Manager. Prevención de malware de NSX también envía archivos al servicio de nube de NSX Advanced Threat Prevention para un análisis detallado de los archivos de nube. Los archivos se envían a la nube mediante NSX Application Platform y no mediante NSX Manager. NSX Application Platform no admite la configuración del servidor proxy y requiere acceso directo a Internet.

Si NSX Manager accede a Internet a través de un servidor proxy de NSX, haga clic en el vínculo Servidor proxy de Internet y especifique los siguiente ajustes:

  • Esquema (HTTP o HTTPS)
  • Dirección IP del host
  • Número de puerto
  • Nombre de usuario y contraseña
Definir ámbito para la prevención de malware e implementación de IDS/IPS

En la sección Activar hosts y clústeres para el tráfico de este a oeste, realice las siguientes configuraciones:

  • Active la función IDS/IPS de NSX en los hosts ESXi independientes.
  • Seleccione los clústeres de hosts ESXi en los que desea activar la función IDS/IPS de NSX en el tráfico este-oeste.
  • Si el servicio de NSX Distributed Malware Prevention aún no está implementado en los clústeres de hosts ESXi, haga clic en el vínculo Definido en la implementación de la máquina virtual de servicio en la columna Prevención de malware. Para obtener instrucciones sobre cómo implementar el servicio NSX Distributed Malware Prevention en un clúster de hosts, consulte Implementar el servicio NSX Distributed Malware Prevention.
En la sección Activar puertas de enlace para el tráfico norte-sur, realice las siguientes configuraciones:
  • Seleccione las puertas de enlace de nivel 1 en las que desea activar la función IDS/IPS de NSX en el tráfico norte-sur.
  • Seleccione las puertas de enlace de nivel 1 en las que desea activar Prevención de malware de NSX en el tráfico norte-sur.
Importante: En el tráfico norte-sur, NSX admite lo siguiente:
  • La función Prevención de malware de NSX solo en puertas de enlace de nivel 1.
  • La función IDS/IPS de NSX en el firewall de puerta de enlace solo en puertas de enlace de nivel 1.

Configuración de IDS/IPS

Cuando se configura la conectividad de Internet en el centro de datos, NSX Manager comprueba la disponibilidad de nuevas firmas de detección de intrusiones en la nube cada 20 minutos de forma predeterminada. Cuando haya una nueva actualización disponible, se mostrará un banner en la página con el vínculo Actualizar ahora.

Si el centro de datos no tiene conectividad a Internet, puede descargar manualmente el archivo del paquete de firmas de IDS (.zip) y, a continuación, cargar el archivo en NSX Manager. Para obtener instrucciones detalladas, consulte Descargar y cargar firmas de detección de intrusiones de NSX sin conexión.

Puede realizar las siguientes tareas de administración de firmas en esta página:

  • Para ver la versión de la firma o agregar otra versión de las firmas además de la predeterminada, haga clic en Ver y cambiar.

    Actualmente, se mantienen dos versiones de las firmas. Cada vez que se produzca un cambio en el número de identificación de la confirmación de versión, se descargará una nueva versión.

  • Para descargar automáticamente las firmas de detección de intrusiones de la nube y aplicarlas a los hosts y las instancias de Edge en el centro de datos, active el botón de alternancia Actualización automática.

    Cuando esta opción está desactivada, se detendrá la descarga automática de firmas. Puede descargar manualmente el archivo del paquete de firmas de IDS (.zip) y cargar el archivo en NSX Manager.

  • Para ver el estado de descarga de firmas en los nodos de transporte, haga clic en el vínculo del campo Estado.
  • Para excluir globalmente firmas específicas o cambiar su acción a alertar, descartar o rechazar, haga clic en Ver y administrar el conjunto de firmas.

    Seleccione una Acción para la firma y haga clic en Guardar. Los cambios realizados en la configuración global de administración de firmas se aplican a todos los perfiles de IDS/IPS. Sin embargo, si actualiza la configuración de firma en un perfil de IDS/IPS, la configuración del perfil tendrá prioridad.

    En la siguiente tabla se explica el significado de cada acción de firma.

    Acción Descripción

    Alerta

    Se genera una alerta y no se lleva a cabo ninguna acción preventiva automática.

    Quitar

    Se genera una alerta y se descartan los paquetes problemáticos.

    Rechazar

    Se genera una alerta y se descartan los paquetes problemáticos. Para los flujos de TCP, se genera un paquete de restablecimiento de TCP mediante IDS y se envía al origen y destino de la conexión. Para otros protocolos, se envía un paquete ICMP-error al origen y al destino de la conexión.

También puede administrar las siguientes opciones avanzadas:

  • Para enviar eventos de IDS/IPS a consumidores de syslog externos, active el botón de alternancia Syslog.
  • A partir de NSX 4.0.1.1, también puede configurar si el exceso de tráfico debe descartarse o debe omitir el motor IDS/IPS en caso de sobresuscripción. Haga clic en la opción adecuada en el campo Sobresuscripción.

Ajustes de Prevención de malware

Prevención de malware de NSX requiere la implementación de ciertos microservicios en NSX Application Platform.

Si NSX Application Platform no está implementado en el centro de datos, esta página mostrará el siguiente título:

Prevención de malware aún no está implementado.
Realice los pasos siguientes:
  1. Lea el texto en pantalla y haga clic en Ir a NSX Application Platform.
  2. Antes de continuar con la implementación de la plataforma, lea la lista de comprobación de implementación de NSX Application Platform en la publicación de Implementar y administrar VMware NSX Application Platform en https://docs.vmware.com/es/VMware-NSX-T-Data-Center/index.html. En el panel de navegación izquierdo en este vínculo expanda la versión 4.0 y haga clic en el nombre de la publicación.
  3. Implemente NSX Application Platform. Para obtener más información, consulte la publicación de Implementar y administrar VMware NSX Application Platform
  4. Función Activar Prevención de malware de NSX en la plataforma.

Después de activar la función de Prevención de malware de NSX en NSX Application Platform, la página de configuración Prevención de malware muestra la sección Lista de permitidos. Es posible que tenga que actualizar la página varias veces para ver esta sección.

Lista de permitidos
Con la API o la interfaz de usuario de NSX Manager, puede anular o suprimir el veredicto del archivo que NSX ha calculado. Este veredicto de archivo anulado tiene prioridad sobre el veredicto calculado de NSX. La tabla Lista de permitidos muestra todos los archivos con el veredicto suprimido. Esta tabla está inicialmente vacía. Cuando se inicia la supervisión de los eventos de archivo en el centro de datos mediante el uso del panel de control de Prevención de malware y se suprimen los veredictos de archivo en función de los requisitos de seguridad específicos, los archivos eliminados se agregan a la tabla Lista de permitidos.

Para obtener más sobre la anulación de los veredictos de los archivos, consulte Agregar un archivo a la lista de permitidos.