NSX-T IDS/IPS는 호스트에 서명을 자동으로 적용하고 클라우드 기반 서비스를 확인하여 침입 탐지 서명을 업데이트할 수 있습니다.

IDS/IPS가 작동하려면 DFW(분산 방화벽)를 사용하도록 설정해야 합니다. DFW 규칙에 따라 트래픽이 차단되면 IDS/IPS에 트래픽이 표시되지 않습니다.

사용 표시줄을 전환하여 독립형 호스트에서 침입 탐지 및 예방을 사용하도록 설정합니다. VC 클러스터가 감지되면 클러스터를 선택하고 사용을 클릭하여 클러스터 단위로 IDS/IPS를 사용하도록 설정할 수도 있습니다.

서명

서명은 프로파일을 통해 ID 규칙에 적용됩니다. 일치하는 트래픽에 단일 프로파일이 적용됩니다. 기본적으로 NSX Manager는 매일 한 번씩 새 서명을 확인합니다. 새 서명 업데이트 버전은 2주마다 게시됩니다(스케줄링되지 않은 추가 0일 업데이트 사용). 새 업데이트를 사용할 수 있는 경우 업데이트 링크를 사용하여 페이지 전체에 배너가 표시됩니다.

새 버전 자동 업데이트를 선택하면 클라우드에서 다운로드된 후에 서명이 호스트에 자동으로 적용됩니다. 자동 업데이트를 사용하지 않도록 설정하면 나열된 버전에서 서명이 중지됩니다. 기본값 외에 다른 버전을 추가하려면 버전 보기 및 변경을 클릭합니다. 현재는 두 가지 버전의 서명이 유지됩니다. 버전 커밋 ID 번호가 변경될 때마다 새 버전이 다운로드됩니다.

NSX Manager에서 인터넷에 액세스하도록 프록시 서버를 구성한 경우 프록시 설정을 클릭하고 구성을 완료합니다.

글로벌 서명 관리

서명은 프로파일에 따라 글로벌로 변경할 수 있습니다. 프로파일에 대한 서명 변경에 따라 글로벌 변경이 재정의됩니다. 특정 서명 작업을 경고/삭제/거부로 글로벌로 변경하려면 글로벌 서명 집합 보기 및 관리를 클릭합니다. 서명에 대한 작업을 선택하고 저장을 클릭합니다.
작업 설명
경고 경고가 생성되고 자동 예방 조치가 수행되지 않습니다.
삭제 경고가 생성되고 잘못된 패킷이 삭제됩니다.
거절 경고가 생성되고 잘못된 패킷이 삭제됩니다. TCP 흐름의 경우 IDS에서 TCP 재설정 패킷이 생성되고 연결의 소스 및 대상으로 전송됩니다. 다른 프로토콜의 경우, ICMP 오류 패킷이 연결의 소스 및 대상으로 전송됩니다.

오프라인 서명 다운로드 및 업로드

NSX-T IDS/IPS는 호스트에 서명을 자동으로 적용하고 클라우드 기반 서비스를 확인하여 침입 탐지 서명을 업데이트할 수 있습니다. NSX-T Data Center 3.1.2부터 IDS/IPS 서명을 다운로드하려면 https://api.prod.nsxti.vmware.com/으로 이동하십시오. 새 서명 업데이트의 경우 업그레이드 후 NSX 배포에서 https://api.prod.nsxti.vmware.com/에 액세스할 수 있어야 합니다.

참고: tar.gz 파일에 있는 classification.configchangelog.jsn 파일이 없는 번들은 지원되지 않습니다.
NSX Manager가 인터넷에 연결되어 있지 않을 때 서명 번들을 다운로드 및 업로드하려면 다음을 수행합니다.
  1. 이 API는 클라우드 서비스와의 통신이 시작되기 전에 호출되는 첫 번째 API입니다. 라이센스 키는 NSX 분산 위협 라이센스에서 가져옵니다. client_id는 사용자가 지정한 이름입니다. Client_secret가 생성되고 인증 API에 대한 요청으로 사용됩니다. 클라이언트가 이전에 등록되었지만 client_id 및 client_secret에 액세스할 수 없는 경우 클라이언트는 동일한 API를 사용하여 다시 등록해야 합니다.
    POST https://api.prod.nsxti.vmware.com/1.0/auth/register
    본문:
    {
    "license_keys":["XXXXX-XXXXX-XXXXX-XXXXX"],
    "device_type":"NSX-IDPS",
    "client_id": "client_username"
    }
    응답:
    {"client_id":"client_username", 
    "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
    }
  2. 이 API 호출은 client_id 및 client_secret를 사용하여 클라이언트를 인증하고 IDS 서명 API에 대한 요청 헤더에 사용할 인증 토큰을 생성합니다. 토큰은 60분 동안 유효합니다. 토큰이 만료되면 클라이언트는 client_id 및 client_secret를 사용하여 재인증해야 합니다.
    POST https://api.prod.nsxti.vmware.com/1.0/auth/authenticate
    본문:
    {"client_id":"client_username", 
    "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
    }
    응답:
    {
        "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg",
        "token_type": "bearer",
        "expires_in": 3600,
        "scope": "[distributed_threat_features]"
    }
  3. 이 명령에 대한 응답에는 ZIP 파일에 대한 링크가 있습니다. NSX Cloud는 24시간마다 GitHub 저장소에서 서명을 다운로드하고 ZIP 파일에 서명을 저장합니다. 서명 URL을 복사하여 브라우저에 붙여 넣으면 ZIP 파일이 다운로드됩니다.
    GET https://api.prod.nsxti.vmware.com/1.0/intrusion-services/signatures   

    [헤더] 탭의 인증 키에는 인증 API 응답의 access_token 값이 있습니다.

    Authorization eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg
    응답:
    {
    "signatures_url": "https://ncs-idps-us-west-2-prod-signatures.s3.us-west-2.amazonaws.com/a07fe284ff70dc67194f2e7cf1a8178d69570528.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXdlc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfGlOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7KT46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZwYxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuSUHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzPMVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz-Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz-Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e"
    }
  4. 보안 > 분산 IDS > 설정으로 이동합니다. 오른쪽 모서리에서 IDS 서명 업로드를 클릭합니다. 저장된 서명 ZIP 파일로 이동하여 파일을 업로드합니다. 다음 API 호출을 사용하여 서명 ZIP을 업로드할 수도 있습니다.
    POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures

인증 API에 대한 오류 코드 처리

다음은 인증 API 오류 응답의 예입니다.

{
"error_code":100101,
"error_message":"XXXXX"
}
  • 100101-100150의 오류 코드가 수신된 경우 동일한 클라이언트 ID로 다시 등록하십시오.
  • 100151-100200의 오류 코드가 수신된 경우 다른 클라이언트 ID로 다시 등록하십시오.