Memverifikasi bahwa endpoint IDS berfungsi
Untuk mengonfirmasi bahwa titik akhir IDS berfungsi, lakukan hal berikut:
- Pastikan endpoint IDS muncul di Konsol Google Cloud untuk Cloud IDS, dan ada kebijakan duplikasi paket di kolom
Attached Policies. - Pastikan kebijakan yang dilampirkan diaktifkan dengan mengklik nama kebijakan, dan
pastikan
Policy Enforcementdisetel ke Enabled. - Untuk memverifikasi bahwa traffic sedang dicerminkan, pilih Instance VM di VPC yang dipantau, buka tab Kemampuan observasi, dan pastikan dasbor
Mirrored Bytesmenampilkan traffic yang dicerminkan ke endpoint IDS. - Pastikan traffic (atau VM) yang sama tidak terpengaruh oleh lebih dari satu
kebijakan duplikasi paket, karena setiap paket hanya dapat dicerminkan ke satu
tujuan. Periksa kolom
Attached Policies, dan pastikan hanya ada satu kebijakan per VM. Buat pemberitahuan pengujian dengan menggunakan SSH untuk terhubung ke VM di jaringan yang dipantau, lalu jalankan perintah berikut:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Jika curl tidak tersedia di platform, Anda dapat menggunakan alat serupa untuk melakukan permintaan HTTP.
Setelah beberapa detik, pemberitahuan akan muncul di UI Cloud IDS dan di Cloud Logging (Log Ancaman).
Mendekripsi traffic untuk diperiksa
Cloud IDS perlu melihat traffic yang didekripsi. Anda dapat mendekripsi traffic pada load balancing L7, atau men-deploy alat pihak ketiga. Jika Anda ingin mendekripsi traffic pada level load balancing, baca bagian berikut.
Karena Load Balancer Aplikasi eksternal memerlukan sertifikat SSL, traffic SSL antara load balancer dan klien akan dienkripsi. Traffic dari GFE ke backend adalah traffic HTTP standar, yang dapat diperiksa oleh Cloud IDS. Lihat referensi berikut untuk menyiapkan dekripsi:
Hanya volume traffic kecil yang diperiksa
Cloud IDS hanya dapat memeriksa traffic ke VM atau Pod GKE. Jika subnet atau VPC Anda tidak memuat VM atau Pod GKE, Cloud IDS tidak dapat memeriksa traffic yang diarahkan ke resource Anda yang lain.