NSX-T IDS/IPS peut appliquer automatiquement des signatures à vos hôtes et mettre à jour les signatures de détection des intrusions en vérifiant notre service Cloud.
Pour qu'IDS/IPS fonctionne, le pare-feu distribué (DFW) doit être activé. Si le trafic est bloqué par une règle DFW, IDS/IPS ne peut pas voir le trafic.
La détection et la prévention des intrusions sont activées sur les hôtes autonomes en basculant la barre activée. Si des clusters VC sont détectés, IDS/IPS peut également être activé en fonction du cluster en sélectionnant le cluster et en cliquant sur activer.
Signatures
Les signatures sont appliquées aux règles d'IDS via des profils. Un profil unique est appliqué au trafic correspondant. Par défaut, NSX Manager vérifie les nouvelles signatures une fois par jour. Les nouvelles versions de mise à jour de signature sont publiées toutes les deux semaines (avec des mises à jour de jour 0 non planifiées supplémentaires). Lorsqu'une nouvelle mise à jour est disponible, une bannière s'affiche sur la page avec un lien Mettre à jour maintenant.
Si Mettre à jour automatiquement de nouvelles versions est sélectionné, les signatures sont automatiquement appliquées à vos hôtes après leur téléchargement depuis le cloud. Si la mise à jour automatique est désactivée, les signatures sont arrêtées à la version répertoriée. Cliquez sur Afficher et modifier les versions pour ajouter une autre version, en plus de la version par défaut. Actuellement, deux versions de signatures sont conservées. Chaque fois qu'une modification est apportée au numéro d'identification de validation de la version, une nouvelle version est téléchargée.
Si un serveur proxy est configuré pour que NSX Manager accède à Internet, cliquez sur Paramètres du proxy et terminez la configuration.
Gestion globale des signatures
Action | Description |
---|---|
Alerte | Une alerte est générée et aucune action préventive automatique n'est effectuée. |
Annuler | Une alerte est générée et les paquets incriminés sont abandonnés. |
Refuser | Une alerte est générée et les paquets incriminés sont abandonnés. Pour les flux TCP, un paquet de réinitialisation TCP est généré par IDS et envoyé à la source et à la destination de la connexion. Pour les autres protocoles, un paquet d'erreur ICMP est envoyé à la source et à la destination de la connexion. |
Téléchargement et chargement hors ligne des signatures
NSX-T IDS/IPS peut appliquer automatiquement des signatures à vos hôtes et mettre à jour les signatures de détection des intrusions en vérifiant notre service Cloud. À partir de NSX-T Data Center 3.1.2, pour télécharger la signature IDS/IPS, allez à https://api.prod.nsxti.vmware.com/. Pour les nouvelles mises à jour de signature, assurez-vous que le déploiement NSX après la mise à niveau a accès à https://api.prod.nsxti.vmware.com/. En cas de téléchargement via proxy, assurez-vous que l'accès au domaine *.amazonaws.com est également accordé.
- Cette API est la première à être appelée avant le démarrage d'une communication avec le service cloud. Envoyez toutes les licences pour obtenir les autorisations nécessaires. Le client_id est le nom attribué par l'utilisateur. Client_secret est généré et utilisé comme demande pour l'API d'authentification. Si le client s'est déjà enregistré, mais n'a pas accès au client_id et au client_secret, il doit s'enregistrer à nouveau à l'aide de la même API.
POST https://api.prod.nsxti.vmware.com/1.0/auth/register
Corps :{ "license_keys":["XXXXX-XXXXX-XXXXX-XXXXX"], "device_type":"NSX-Idps-Offline-Download", "client_id": "client_username" }
Réponse :{"client_id":"client_username", "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ=" }
- Cet appel d'API authentifie le client à l'aide de client_id et client_secret, et génère un jeton d'autorisation à utiliser dans les en-têtes des demandes d'API de signatures IDS. Le jeton est valide pendant 60 minutes. Si le jeton est expiré, le client doit se réauthentifier à l'aide de client_id et client_secret.
POST https://api.prod.nsxti.vmware.com/1.0/auth/authenticate
Corps :{"client_id":"client_username", "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ=" }
Réponse :{ "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg", "token_type": "bearer", "expires_in": 3600, "scope": "[idps_scope]" }
- La réponse à cette commande comporte le lien du fichier ZIP. NSX Cloud télécharge les signatures depuis le référentiel GIT Hub toutes les 24 heures et enregistre les signatures dans un fichier ZIP. Copiez et collez l'URL des signatures dans votre navigateur, le fichier ZIP sera alors téléchargé.
GET https://api.prod.nsxti.vmware.com/1.0/intrusion-services/signatures
Dans l'onglet En-têtes, la clé d'autorisation a la valeur access_token de la réponse de l'API d'authentification.
Authorization: eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg
Réponse :{ "signatures_url": "https://ncs-idps-us-west-2-prod-signatures.s3.us-west-2.amazonaws.com/a07fe284ff70dc67194f2e7cf1a8178d69570528.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXdlc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfGlOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7KT46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZwYxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuSUHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzPMVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz-Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz-Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e" }
- Accédez à Télécharger les signatures IDS dans le coin droit. Accédez au fichier ZIP de la signature enregistrée et téléchargez le fichier. Vous pouvez également télécharger le fichier ZIP de la signature à l'aide de l'appel d'API :
POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures
. Cliquez sur
Gestion du code d'erreur pour l'API d'authentification
Voici un exemple de réponse d'erreur d'API d'authentification :
{ "error_code":100101, "error_message":"XXXXX" }
- Si vous avez reçu un code d'erreur de 100101 à 100150, veuillez vous enregistrer de nouveau avec le même ID de client.
- Si vous avez reçu un code d'erreur de 100151 à 100200, veuillez vous enregistrer de nouveau avec un ID de client différent.