NSX-T IDS/IPS peut appliquer automatiquement des signatures à vos hôtes et mettre à jour les signatures de détection des intrusions en vérifiant notre service Cloud.

Pour qu'IDS/IPS fonctionne, le pare-feu distribué (DFW) doit être activé. Si le trafic est bloqué par une règle DFW, IDS/IPS ne peut pas voir le trafic.

La détection et la prévention des intrusions sont activées sur les hôtes autonomes en basculant la barre activée. Si des clusters VC sont détectés, IDS/IPS peut également être activé en fonction du cluster en sélectionnant le cluster et en cliquant sur activer.

Signatures

Les signatures sont appliquées aux règles d'IDS via des profils. Un profil unique est appliqué au trafic correspondant. Par défaut, NSX Manager vérifie les nouvelles signatures une fois par jour. Les nouvelles versions de mise à jour de signature sont publiées toutes les deux semaines (avec des mises à jour de jour 0 non planifiées supplémentaires). Lorsqu'une nouvelle mise à jour est disponible, une bannière s'affiche sur la page avec un lien Mettre à jour maintenant.

Si Mettre à jour automatiquement de nouvelles versions est sélectionné, les signatures sont automatiquement appliquées à vos hôtes après leur téléchargement depuis le cloud. Si la mise à jour automatique est désactivée, les signatures sont arrêtées à la version répertoriée. Cliquez sur Afficher et modifier les versions pour ajouter une autre version, en plus de la version par défaut. Actuellement, deux versions de signatures sont conservées. Chaque fois qu'une modification est apportée au numéro d'identification de validation de la version, une nouvelle version est téléchargée.

Si un serveur proxy est configuré pour que NSX Manager accède à Internet, cliquez sur Paramètres du proxy et terminez la configuration.

Gestion globale des signatures

Les signatures peuvent être modifiées par profil et globalement. Les modifications de signature apportées aux profils remplacent les modifications globales. Pour modifier globalement l'action d'alerte/abandon/rejet d'une signature spécifique, cliquez sur Afficher et gérer l'ensemble de signatures global. Sélectionnez une Action pour la signature, puis cliquez sur Enregistrer.
Action Description
Alerte Une alerte est générée et aucune action préventive automatique n'est effectuée.
Annuler Une alerte est générée et les paquets incriminés sont abandonnés.
Refuser Une alerte est générée et les paquets incriminés sont abandonnés. Pour les flux TCP, un paquet de réinitialisation TCP est généré par IDS et envoyé à la source et à la destination de la connexion. Pour les autres protocoles, un paquet d'erreur ICMP est envoyé à la source et à la destination de la connexion.

Téléchargement et chargement hors ligne des signatures

NSX-T IDS/IPS peut appliquer automatiquement des signatures à vos hôtes et mettre à jour les signatures de détection des intrusions en vérifiant notre service Cloud. À partir de NSX-T Data Center 3.1.2, pour télécharger la signature IDS/IPS, allez à https://api.prod.nsxti.vmware.com/. Pour les nouvelles mises à jour de signature, assurez-vous que le déploiement NSX après la mise à niveau a accès à https://api.prod.nsxti.vmware.com/.

Note : Les bundles dont les fichiers classification.config et changelog.jsn ne sont pas présents dans le fichier tar.gz ne sont pas pris en charge.
Pour télécharger et charger un bundle de signatures lorsque NSX Manager ne dispose pas d'un accès à Internet :
  1. Cette API est la première à être appelée avant le démarrage d'une communication avec le service cloud. Les clés de licence proviennent de la licence des menaces distribuées de NSX. Le client_id est le nom attribué par l'utilisateur. Client_secret est généré et utilisé comme demande pour l'API d'authentification. Si le client s'est déjà enregistré, mais n'a pas accès aux client_id et client_secret, il doit s'enregistrer à nouveau à l'aide de la même API.
    POST https://api.prod.nsxti.vmware.com/1.0/auth/register
    Corps :
    {
    "license_keys":["XXXXX-XXXXX-XXXXX-XXXXX"],
    "device_type":"NSX-IDPS",
    "client_id": "client_username"
    }
    Réponse :
    {"client_id":"client_username", 
    "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
    }
  2. Cet appel d'API authentifie le client à l'aide de client_id et client_secret, et génère un jeton d'autorisation à utiliser dans les en-têtes des demandes d'API de signatures IDS. Le jeton est valide pendant 60 minutes. Si le jeton est expiré, le client doit se réauthentifier à l'aide de client_id et client_secret.
    POST https://api.prod.nsxti.vmware.com/1.0/auth/authenticate
    Corps :
    {"client_id":"client_username", 
    "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
    }
    Réponse :
    {
        "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg",
        "token_type": "bearer",
        "expires_in": 3600,
        "scope": "[distributed_threat_features]"
    }
  3. La réponse à cette commande comporte le lien du fichier ZIP. NSX Cloud télécharge les signatures depuis le référentiel GIT Hub toutes les 24 heures et enregistre les signatures dans un fichier ZIP. Copiez et collez l'URL des signatures dans votre navigateur, le fichier ZIP sera alors téléchargé.
    GET https://api.prod.nsxti.vmware.com/1.0/intrusion-services/signatures   

    Dans l'onglet En-têtes, la clé d'autorisation a la valeur access_token de la réponse de l'API d'authentification.

    Authorization eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg
    Réponse :
    {
    "signatures_url": "https://ncs-idps-us-west-2-prod-signatures.s3.us-west-2.amazonaws.com/a07fe284ff70dc67194f2e7cf1a8178d69570528.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXdlc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfGlOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7KT46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZwYxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuSUHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzPMVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz-Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz-Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e"
    }
  4. Accédez à Sécurité > IDS distribué > Paramètres. Cliquez sur Télécharger les signatures IDS dans le coin droit. Accédez au fichier ZIP de la signature enregistrée et téléchargez le fichier. Vous pouvez également télécharger le fichier ZIP de la signature à l'aide de l'appel d'API :
    POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures

Gestion du code d'erreur pour l'API d'authentification

Voici un exemple de réponse d'erreur d'API d'authentification :

{
"error_code":100101,
"error_message":"XXXXX"
}
  • Si vous avez reçu un code d'erreur de 100101 à 100150, veuillez vous enregistrer de nouveau avec le même ID de client.
  • Si vous avez reçu un code d'erreur de 100151 à 100200, veuillez vous enregistrer de nouveau avec un ID de client différent.