Verificar que un endpoint de IDS funciona
Para confirmar que un endpoint de IDS funciona correctamente, haz lo siguiente:
- Comprueba que el endpoint de IDS aparezca en la consola de Cloud IDS Google Cloud y que haya una política de replicación de paquetes en la columna
Attached Policies. - Para comprobar que la política adjunta está habilitada, haz clic en el nombre de la política y asegúrate de que
Policy Enforcementesté configurado como Habilitada. - Para verificar que el tráfico se está duplicando, elija una instancia de VM en la VPC monitorizada, vaya a la pestaña Observabilidad y compruebe que el panel de control
Mirrored Bytesmuestra que el tráfico se está duplicando en el endpoint de IDS. - Asegúrate de que el mismo tráfico (o VM) no se vea afectado por más de una política de replicación de paquetes, ya que cada paquete solo se puede replicar en un destino. Consulta la columna
Attached Policiesy asegúrate de que solo haya una política por máquina virtual. Genera una alerta de prueba mediante SSH para conectarte a una VM de la red monitorizada y, a continuación, ejecuta el siguiente comando:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Si curl no está disponible en la plataforma, puedes usar una herramienta similar para enviar solicitudes HTTP.
Al cabo de unos segundos, debería aparecer una alerta en la interfaz de usuario de Cloud IDS y en Cloud Logging (registro de amenazas).
Descifrar el tráfico para inspeccionarlo
Para inspeccionar el tráfico, Cloud IDS usa la creación de réplicas de paquetes para enviar copias a nivel de paquete del tráfico configurado a la VM de IDS. Aunque el destino del recopilador recibe todos los paquetes duplicados, Cloud IDS no puede descifrar los paquetes que contienen datos cifrados con un protocolo seguro, como TLS, HTTPS o HTTP2.
Por ejemplo, si usas HTTPS o HTTP2 como protocolo de servicio de backend de un balanceador de carga de aplicaciones externo, los paquetes enviados a los backends del balanceador de carga se pueden duplicar en Cloud IDS. Sin embargo, Cloud IDS no puede inspeccionar las solicitudes porque los paquetes contienen datos cifrados. Para habilitar la inspección de Cloud IDS, debes cambiar el protocolo del servicio de backend a HTTP. También puedes usar Google Cloud Armor para evitar intrusiones y habilitar los registros del balanceador de carga de aplicaciones para inspeccionar las solicitudes. Para obtener más información sobre el registro de solicitudes del balanceador de carga de aplicaciones, consulta Registro y monitorización del balanceador de carga de aplicaciones externo global y Registro y monitorización del balanceador de carga de aplicaciones externo regional.
Solo se inspecciona un pequeño volumen de tráfico
Cloud IDS inspecciona el tráfico enviado o recibido por los recursos de las subredes reflejadas, incluidas las máquinas virtuales, los nodos de GKE y los pods. Google Cloud
Si una subred reflejada no contiene ninguna VM, Cloud IDS no tendrá tráfico que inspeccionar.
Las políticas de endpoint se ignoran cuando se usan políticas de inspección de nivel 7 de Cloud NGFW
Cuando usas Cloud Next Generation Firewall y Cloud IDS juntos, se evalúan las reglas de la política de cortafuegos y el tráfico no se replica para la inspección de Cloud IDS.apply_security_profile_group Para evitar esta situación, asegúrate de que las políticas de inspección de capa 7 de Cloud NGFW no se apliquen a los paquetes que necesites inspeccionar con Cloud IDS.